Νομικά και Πληροφορική: Μηχανισμοί συνδρομής...
41
Τ.Ε.Ι. Δυτικής Ελλάδας Σχολή Τεχνολογικών Εφαρμογών Τμήμα Μηχανικών Πληροφορικής Τ.Ε. ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΘΕΜΑ «Νομικά και Πληροφορική: Μηχανισμοί συνδρομής δικονομικής διαδικασίας» Σπουδαστής: Κατσιαδράμης Δημήτριος Α.Μ.: 1415 Επιβλέπων καθηγητής: Γεώργιος Ασημακόπουλος
-
Upload
dimitris-katsiadramis -
Category
Science
-
view
151 -
download
3
Transcript of Νομικά και Πληροφορική: Μηχανισμοί συνδρομής...
Τ.Ε.Ι. Δυτικής ΕλλάδαςΣχολή Τεχνολογικών Εφαρμογών
Τμήμα Μηχανικών Πληροφορικής Τ.Ε.
ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ
ΘΕΜΑ
«Νομικά και Πληροφορική:
Μηχανισμοί συνδρομής δικονομικής διαδικασίας»
Σπουδαστής: Κατσιαδράμης Δημήτριος
Α.Μ.: 1415
Επιβλέπων καθηγητής: Γεώργιος Ασημακόπουλος
Εισαγωγή
Θα γνωρίσουμε τις μεθόδους και τα εργαλεία που χρησιμοποιούνται για την αναζήτηση και επεξεργασία των αποδεικτικών στοιχείων σε έναν υπολογιστή ή σε μια δικτυακή συσκευή.
Τα εργαλεία αυτά μπορεί να είναι απλό λογισμικό ή σουίτες εφαρμογών, οι οποίες εφαρμογές μπορεί να είναι ειδικά σχεδιασμένες για χρήση σε εγκληματολογική έρευνα ή να είναι κοινά εργαλεία που χρησιμοποιούνται από απλούς χρήστες για διάφορους σκοπούς, αλλά εξυπηρετούν και τις ανάγκες της εγκληματολογικής έρευνας.
Τα λειτουργικά συστήματα με τα οποία θα ασχοληθούμε είναι κυρίως τα Windows και τα Linux.
Τέλος, θα δούμε μερικά σενάρια χρήσης των εργαλείων σε υποθετικές εγκληματολογικές έρευνες.
Ελληνικό νομικό πλαίσιογια τα προσωπικά δεδομένα
Νόμος 2472/1997: Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Νόμος 2867/2000: Οργάνωση και λειτουργία των τηλεπικοινωνιών και άλλες διατάξεις
Π.Δ. 150/2001: Προσαρμογή στην Οδηγία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές
Νόμος 3115/2003: Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών Π.Δ. 47/2005: Διαδικασίες καθώς και τεχνικές και οργανωτικές εγγυήσεις για την
άρση του απορρήτου των επικοινωνιών και για τη διασφάλιση του
Ελληνικό νομικό πλαίσιογια τα προσωπικά δεδομένα
Νόμος 3471/2006: Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του Ν. 2472/1997
Νόμος 3783/2009: Ταυτοποίηση των κατόχων και χρηστών εξοπλισμού και υπηρεσιών κινητής τηλεφωνίας
Νόμος 3917/2011: Διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών, χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους
χώρους και συναφείς διατάξεις Νόμος 4070/2012: Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών,
Δημοσίων Έργων και άλλες διατάξεις
Επιστήμη της ψηφιακής εγκληματολογίας
Κλάδος της ευρύτερης επιστήμης της εγκληματολογίας, ο οποίος εξελίσσεται συνεχώς για να καλυφθούν όσο γίνεται περισσότερες ανάγκες στον τομέα της πληροφορικής.
Χωρίζεται σε 3 κλάδους: Εγκληματολογία Υπολογιστών Εγκληματολογία Δικτύων Εγκληματολογία Κινητών Συσκευών
Εγκληματολογία υπολογιστών
Περιλαμβάνει την εγκληματολογική ανάλυση που γίνεται σε διάφορα μέρη του συστήματος, όπως το hardware του υπολογιστή, το operating system, το file system, τα αρχεία και τις εφαρμογές.
Θεωρείται ευρέως χρησιμοποιημένος κλάδος, όσον αφορά επαγγελματική ή προσωπική χρήση, λόγω της πολυεπίπεδων εφαρμογών των υπολογιστών από μεγάλο πλήθος ανθρώπων στην καθημερινότητα.
Εγκληματολογία υπολογιστών
Μερικά γνωστά εργαλεία και λογισμικά που χρησιμοποιούνται: EnCase, για ανάκτηση και ανάλυση αρχείων File Checksum Integrity Verifier, για υπολογισμό και επαλήθευση της τιμής hash ενός
αρχείου Foremost, για την προβολή και ανάκτηση των διεγραμμένων αρχείων History Viewer, για το ιστορικό των browsers PsTools, για ανάκτηση πληροφοριών του συστήματος (χρήστες, διεργασίες, logs, κ.τ.λ.) pwdump, για την ανάκτηση των τιμών hash των κωδικών των χρηστών στα Windows Streams, για εύρεση εναλλακτικών ροών δεδομένων των αρχείων The Sleuth Kit, για ανάλυση των αρχείων, του δίσκου και του file system
EnCase
File Scavenger
Process Explorer
The Sleuth Kit
Εγκληματολογία δικτύων
Περιλαμβάνει την εγκληματολογική ανάλυση της κίνησης στα δίκτυα, καθώς και πιθανών λοιπών στοιχείων που έχουν απομείνει στις δικτυακές συσκευές.
Ο κλάδος αυτός φέρει μεγάλη επαγγελματική απασχόληση, τόσο στον δημόσιο τομέα όσο και σε ιδιωτικές επιχειρήσεις, ως προς την ασφάλεια των δικτυακών συστημάτων τους.
Εγκληματολογία δικτύων
Αρκετά εργαλεία και λογισμικά υπάρχουν για την εξέταση των δικτυακών δεδομένων, μερικά από οποία είναι:o Fport, για το ποιες διεργασίες ακούνε σε ποιες θύρεςo Nmap, για πληροφορίες σχετικά με έναν host (ανοιχτές θύρες, δικτυακή διαδρομή, κ.τ.λ.)o Snort, ως σύστημα ανίχνευσης και αποτροπής δικτυακής διείσδυσηςo tcpdump και Windump, για καταγραφή και ανάλυση πακέτων μέσω γραμμής εντολώνo tcptrace, για ανάλυση TCP πακέτων και εμφάνιση συνοπτικών πληροφοριών για τις
συνδέσεις με βάση τα πακέταo Wireshark, για καταγραφή και ανάλυση των πακέτων ενός δικτύου μέσω γραφικού
περιβάλλοντος
Nmap
Wireshark
Εγκληματολογία κινητών συσκευών
Κινητή συσκευή θεωρείται οποιαδήποτε φορητή συσκευή συνδέεται στο δίκτυο, όπως το κινητό, το smartphone, το tablet, το PDA και η συσκευή GPS.
Περιλαμβάνει την εγκληματολογική ανάλυση βασικών στοιχείων, όπως κλήσεις, SMS/MMS, φωτογραφίες και βίντεο. Επίσης, για πιο εξειδικευμένες συσκευές, τις εφαρμογές, τα λειτουργικά συστήματα και λοιπά αρχεία.
Υπάρχουν διάφορα εργαλεία και λογισμικά τα οποία ανακτούν όλες αυτές τις πληροφορίες από τα κινητά, με διαφορετικό τρόπο κάθε φορά ανάλογα με την συσκευή, όπως το Foroboto, το MOBILedit!, το iPhone Analyzer και άλλα.
MOBILedit!
Λειτουργικά συστήματαγια εγκληματολογία
Υπάρχουν λειτουργικά συστήματα ειδικά σχεδιασμένα για εγκληματολογική χρήση και όχι μόνο, όπως για δοκιμές ασφάλειας ενός δικτύου.
Σχεδόν όλα είναι βασισμένα στα Linux, δηλαδή είναι open-source και έτσι συνέχεια ανανεώνονται με νέα και χρήσιμα εργαλεία.
Μερικά γνωστά λειτουργικά συστήματα είναι: CAINE Kali Linux, παλαιότερα γνωστά ως Backtrack SIFT
Kali Linux
Σενάρια χρήσης εργαλείων
Κρυμμένο κείμενο σε εικόνα, η οποία στάλθηκε μέσω email ως συμπιεσμένο αρχείο.
Διαδικτυακή επίθεση σε server, με την μέθοδο ωμής βίας σε διαδικτυακή φόρμα.
1ο σενάριο – Τι έγινε
Αποστολή με email ενός συμπιεσμένου αρχείου, το οποίο είναι κλειδωμένο.
1ο σενάριο – Τι κάναμε
Χρησιμοποιήσαμε το FCIV για να πάρουμε το checksum του συμπιεσμένου αρχείου όπως βρέθηκε στον υπολογιστή του θύματος, ώστε να το συγκρίνουμε μετά με το αντίστοιχο συμπιεσμένο αρχείο στον υπολογιστή του υπόπτου, για να βεβαιωθούμε ότι δεν έγινε καμία αλλαγή στο ενδιάμεσο της αποστολής του email.
1ο σενάριο – Τι κάναμε
Ελέγξαμε αν έχει σταλεί όντως το email από τον υπολογιστή του υπόπτου. Αυτό έγινε με το Free MBOX File Viewer, με το οποίο διαβάσαμε το αρχείο Sent-1 για το Thunderbird.
1ο σενάριο – Τι κάναμε Βρήκαμε στον υπολογιστή του υπόπτου το συμπιεσμένο αρχείο και
επαληθεύσαμε το checksum του.
1ο σενάριο – Τι κάναμε
Επειδή το αρχείο βρέθηκε κλειδωμένο, ψάξαμε στον ίδιο κατάλογο να βρούμε κάποιο στοιχείο που να υποδηλώνει τον κωδικό αποσυμπίεσης.
Με δύο τρόπους έγινε η αναζήτηση:1. Εύρεση ύποπτου αρχείου με ώρα δημιουργίας κοντά στην ώρα δημιουργίας του
συμπιεσμένου αρχείου.
2. Εύρεση αρχείων με εναλλακτικές ροές δεδομένων.
1ο σενάριο – Τι κάναμε1.
2.
1ο σενάριο – Τι κάναμε
Διαβάσαμε το περιεχόμενο της εναλλακτικής ροής δεδομένων του συμπιεσμένου αρχείου, το οποίο περιείχε μέσα τον κωδικό για την αποσυμπίεση του.
1ο σενάριο – Τι κάναμε
Βρήκαμε ότι το συμπιεσμένο αρχείο περιέχει μια εικόνα BMP, της οποίας όμως το μέγεθος δεν συνάδει με την ανάλυση της.
1ο σενάριο – Τι κάναμε
Για να μπορέσουμε να δούμε αν υπήρχε καμία κρυφή πληροφορία μέσα στην εικόνα, ψάξαμε να βρούμε τι εργαλείο στενογραφίας χρησιμοποιήθηκε. Με το MyLastSearch είδαμε τι αναζητήσεις έκανε ο ύποπτος στο Διαδίκτυο.
1ο σενάριο – Τι κάναμε Αποδείξαμε ότι το QuickStego υπήρχε εγκατεστημένο στον υπολογιστή, μέσω
της Registry των Windows.
1ο σενάριο – Τι κάναμε Εφαρμόσαμε στεγανάλυση στην
εικόνα με το QuickStego και είδαμε ότι υπάρχει κρυφό κείμενο, το οποίο είναι κώδικας batch.
2ο σενάριο – Τι έγινε
Επίθεση κωδικού σε web form ενός server.
Χαρακτηριστικά server:
Η διεύθυνση του είναι η 83.212.100.186. Η καταγραφή έγινε με το Wireshark στο interface Ethernet 2.
2ο σενάριο – Τι κάναμε Από την εικόνα, με μια πρώτη ματιά βρίσκουμε διάφορες πληροφορίες:
Ο client έχει την διεύθυνση 46.176.104.245. Ο server λαμβάνει 11 αιτήματα στις μεθόδους GET και POST του HTTP
πρωτοκόλλου, σε πολύ μικρό χρονικό διάστημα. Κάθε αίτημα στέλνεται από διαφορετική θύρα, οι οποίες (θύρες) είναι γειτονικές
μεταξύ τους. Η συνολική διάρκεια της επίθεσης διήρκησε περίπου 0,3 δευτερόλεπτα.
2ο σενάριο – Τι κάναμε
Όταν ο client έστελνε λάθος κωδικό χρήστη, η απάντηση του server ήταν “No”.
2ο σενάριο – Τι κάναμε
Όταν ο client έστειλε τον σωστό κωδικό χρήστη, η απάντηση του server ήταν “Success”.
Συγκρίνοντας την θύρα προορισμού (4031) με την θύρα προέλευσης των προηγούμενων 11 πακέτων, είναι το πακέτο 226 το οποίο περιείχε τον κωδικό “wampp”.
2ο σενάριο – Τι κάναμε
Η επίθεση πραγματοποιήθηκε με το εργαλείο Hydra στα Kali Linux και ως wordlist χρησιμοποιήθηκε ένα αυτοδημιούργητο αρχείο κωδικών.
Βιβλιογραφία - Αναφορές
1. "Το νομικό πλαίσιο των τηλεπικοινωνιών", Θανάσης Ξηρός - Θάλεια Ζ. Εμίρη, Εκδόσεις ΣΑΚΚΟΥΛΑ, 2003
2. "Incident Response & Computer Forensics", Second Edition, Kevin Mandia - Chris Posise - Matt Pepe, McGraw-Hill, 2003
3. "How to use Forensic Toolkit v2.0 on Windows NT 4.0 Server", Maarten van Essen - Landis ICT Services & Consultancy, SANS Institute, 2002
