Kaj dela pravi spletni detektiv
Za nami je druga konferenca o etičnem hekanju HEK.SI, namenjena strokovnjakom za informacijsko varnost, ki želijo biti na tekočem z vsemi tehnikami, ki se jih poslužujejo napadalci.
Eden izmed predavateljev, ki je postregel s številnimi primeri iz prakse, nasveti za preiskovanje in poskrbel za polno predavalnico, je bil Christian Prickaerts. Christian je strokovnjak za odzivanje na omrežne incidente, revizijo in digitalno forenziko. Zaposlen je v nizozemskem podjetju FOX-IT, specializiranem za področje kibernetske varnosti, ki ponuja storitve tudi naročnikom iz sveta bančništva in energetike. Je tudi sodelavec inštituta SANS, vodilne svetovne organizacije za izobraževanje in certificiranje varnostnih strokovnjakov.
Pogovarjali smo se delu, ki ga opravlja kot digitalni forenzik, predvsem pa je razbil mite o preiskovanju digitalnih sledi, ki jim mi – vsakdanji uporabniki, pogosto še vedno verjamemo.
Christian, kako bi povprečnemu spletnemu uporabniku pojasnili, kaj je digitalna forenzika, kako se je razvijala skozi čas? Katere primere so preiskovali prvi digitalni forenziki?
Zelo enostavno povedano gre za disciplino, ki raziskuje, kako je bil računalnik uporabljen oz. zlorabljen. V praksi to pomeni, da preiskujemo digitalne dokaze in z njimi poskušamo rekonstruirati, potvoriti nek dogodek. Digitalna forenzika se je razvijala vzporedno z računalniki, stara je toliko, kot sam računalnik, vendar če govorimo o preiskovanju računalniškega kriminala, potem je le-ta dobil pravi zalet s pojavom interneta, ko so računalniki začeli med sabo komunicirati. Konec 80. let prejšnjega stoletja je po Evropi internet postal dostopen širšim množicam uporabnikov, posledično pa je postal zanimiv tudi kriminalcem. Tako lahko ločimo neke vrste »tradicionalni« kriminal, npr. kraje, prevare, otroška pornografija, takšna kazniva dejanja so obstajala že prej, internet je postal le orodje v rokah kriminalcev, ki jim je olajšalo komunikacijo oz. dostop do žrtev. Na drugi strani pa so se pojavili čisto novi primeri zlorab, ki pred pojavom računalnikov in predvsem interneta niso obstajali. Tu govorimo o tipičnem kiberkriminalu, npr. nekdo napiše zlonamerni program, s pomočjo DOS napada nekdo onemogoči dostop do spletne strani ali storitve. Raziskovalno delo prvih digitalnih forenzikov v 80. letih je potekalo predvsem znotraj akademskih in vojaških institucij, ki so takrat edine premogle ogromne računalnike, žal pa številni izsledki nosijo oznako »top secret«.
Zakaj ste se odločili za poklic digitalnega forenzika, kaj vas je pritegnilo?
Že od nekdaj sem rad reševal uganke! Rad sem gledal kriminalke in bral detektivske romane ter ugotavljal, kdo je krivec, kdo je zakrivil zločin. Hkrati pa so me že zelo zgodaj pritegnili računalniki. Moja prva služba je bilo mesto sistemskega administratorja na maastrichtski univerzi, kjer sem se dostikrat srečal s hekerskimi napadi na naše računalnike. In seveda me je vedno zanimalo, kako se je to zgodilo, kako je do napada prišlo. Nadaljeval sem izobraževanj v tej smeri in moj hobi je sčasoma postal moja služba.
Mit ali resnica? Zbrali smo 3 najpogostejše trditve, povezane s preiskovanjem digitalnih sledi, vi povejte, ali držijo.
- »Ko pritisnem tipko Delete, je dokument dokončno izbrisan.«
Če posplošim, ta trditev ne drži. Nekateri se še spomnite, ko ste v knjižnicah najprej poiskali kartonček, na katerem je pisalo, na kateri polici se knjiga nahaja, in šele nato ste se ponjo odpravili. Če se je kartonček izgubil, ne pomeni, da se je izgubila tudi knjiga, samo našli ste jo veliko težje. Ta sistem lahko primerjamo z izbrisano datoteko, saj izbrišemo samo pot, ki kaže do nje. Zelo verjetno ste ta isti dokument kdaj komu poslali prek elektronske pošte, ga sinhronizirali v oblak, kopirali na drugo lokacijo ali prenesli s spleta. In vsi ti koščki informacij nam pomagajo, da obnovimo prvotne podatke oz. dokument, le ukrepati moramo dovolj hitro. - »Če ustvarim lažen Gmail račun in grozim bivši punci, me ne morejo izslediti.«
Policija oz. organ pregona ima vedno možnost, da podjetje Google zaprosi za podatke o IP naslovu, s katerim je bil določen račun ustvarjen ali s katerega je bilo elektronsko sporočilo poslano. Posledično lahko pridejo do računalnika, na katerem je elektronsko sporočilo nastalo in opravijo še dodatno analizo digitalnih sledi. - »Na internetu ni absolutne anonimnosti!«
Ta trditev drži. Praktično nemogoče je zagotoviti 100 % anonimnosti, saj s samo povezavo v internet, z vzpostavitvijo komunikacije med dvema napravama, puščamo sled. Z uporabo določenih postopkov in orodij, lahko uspešno zakrijemo pravo identiteto in skoraj onemogočimo, da nas določene institucije izsledijo. Vendar, če govorimo o povprečnem spletnem uporabniku, s povprečnim znanjem, to ni možno.
Katere so 3 največje neumnosti, ki jih na internetu lahko storimo? Če govorimo v kontekstu varnosti in zasebnosti, seveda.
Nikoli ne zaupamo elektronskim sporočilom, ki od nas zahtevajo, da jim posredujemo svoje geslo. Govorim o phishingu, ko pod pretvezo različnih obljub ali groženj neznancu razrijemo svoje geslo. Zelo tvegano je tudi nalaganje različnih programov iz nepreverjenih virov, tako na računalnik kot na pametni telefon ali tablico. Za konec bi opozoril še na pretirano razkrivanje svojega zasebnega življenja oz. deljenje občutljivih informacij, ki jih lahko kriminalci uporabijo za ustvarjanje lažne identitete.
Zato bodite pozorni, katere informacije delite in s kom.
Preberite tudi:
- FOX-IT blog
- Advanced time-lining using open source tools, prezentacija Christian Prickaerts, konferenca HEK.SI
- Forensics in cybercrime cases, prezentacija Christian Prickaerts, konferenca HEK.SI
Lahko pa se tudi sami preizkusite, kako uspešni spletni detektivi bi bili. Ste pripravljeni? Rešite izziv Si spletni detektiv?
Komentarji / 0