hakin9 07.2010 pl

8/8/2019 hakin9 07.2010 PL

1/50

8/8/2019 hakin9 07.2010 PL

2/50
http://www.podyplomowe.byd.pl/http://www.cei.wsg.byd.pl/

8/8/2019 hakin9 07.2010 PL

3/50Strony rekomendowane

Strony rekomendowane

www.i - s l owni k . pl

www.h

c s l . pl

www. an

t y n e t . pl

ww

w. c c n s . pl

www. o s d

ev . pl

www. o

c h r on

ai nf or m

a c j i . pl

www. t o

p s e c . pl

www.h

a c k m e. pl

www.h

ak er z y .n

e t

www.m

gi b k i .w

or d

pr

e s s . c om

8/8/2019 hakin9 07.2010 PL

4/504

SPIS TRECI

NARZEDZIA6 Obudowa MIDI ATX iBOX Piano 33937 StrongRecovery

POCZTKI8 Dysk twardy budowa i dziaanie

Artur SkroubaNiniejszy artyku jest oglnym zarysem budowy i dziaania dzisiejszych dyskw twardych. W kilku sowach przybli-a nam te problematyk, w jaki sposb obchodzi si z naszym HDD, aby jego ywotno bya jak najdusza.

OBRONA14 ScapyMicha Sajdak Czy istnieje atwy sposb na wygenerowanie niemal dowolnych pakietw? Czy mona bez wikszych trudnocizmodyfikowa przechwycony pakiet i wysa go ponownie? Czy nieskomplikowanym zadaniem jest przygotowa-nie fuzzera protokou sieciowego?

OCHRONA DANYCH25 Archiwizacja danych

Aleksander Tadeusz wikliski Niewielu uytkownikw komputerw przywizuje naleyt wag do archiwizacji plikw. Czsto gin im bezpowrot-nie bezcenne dokumenty lub zdjcia, a niewiele trzeba, by temu zapobiec.

PRAKTYKA30 ELEKTRONICZNI DETEKTYWI W AKCJIPawe Odor, Piotr Dembiski Wiedza i umiejtnoci informatykw ledczych, take z Polski, pomogy ju rozwiza tysice spraw sdowychna caym wiecie, w tym tych najpowaniejszych, zwizanych midzy innymi z gonymi przestpstwami gospo-darczymi, pedofili bd kradzie poufnych danych. Wci jednak dziaania prowadzone w ramach informatykiledczej s niemale obce nie tylko firmom traccym przychody przez oszustw komputerowych, ale nawet samejbrany IT.

7/2010 (61)

4 7/2010

8/8/2019 hakin9 07.2010 PL

5/50www.hakin9.org 5

Miesicznik hakin9 (12 numerw w roku) jest wydawany przez Software Press Sp. z o.o. SK

Redaktor naczelny: Katarzyna Dbek [email protected]

Projekt okadki: Agnieszka Marchocka

Skad i amanie: Tomasz Kostro www.studiopoligraficzne.com

Kierownik produkcji: Andrzej Kuca [email protected]

Adres korespondencyjny:Software Press Sp. z o.o. SK,

ul. Bokserska 1, 02-682 Warszawa, Polskatel. +48 22 427 36 91, fax +48 22 224 24 59

www.sdjournal.org [email protected]

5

BEZPIECZNA FIRMA36 Endpoint SecurityPawe migielski Zdecydowana wikszo firm zabezpiecza swoje sieci i komputery przed atakami z zewntrz, stosuje antywirusy,firewalle i systemy wykrywania wama. Jednoczenie zapominamy o zagroeniach ze strony swoich wasnychpracownikw. W artykule poznamy rne rozwizania chronice przed wyciekiem i utrat danych ze stacji robo-

czych.

WYWIAD45 Na pytania odpowiada Pawe Odor, gwny specjalista Kroll Ontrack w Polsce

FELIETON48 CyberwojnaPatryk Krawaczyski

HAKIN9 7/2010

SPIS TRECI

Dzia reklamy: [email protected]

Redakcja dokada wszelkich stara, by publikowane w pimiei na towarzyszcych mu nonikach informacje i programy byy

poprawne, jednake nie bierze odpowiedzialnoci za efektywykorzystania ich; nie gwarantuje take poprawnego dziaania

programw shareware, freeware i public domain.

Wszystkie znaki firmowe zawarte w pimie s wasnociodpowiednich firm.

Zostay uyte wycznie w celach informacyjnych.

Osoby zainteresowane wspprac prosimy o kontakt:[email protected]

8/8/2019 hakin9 07.2010 PL

6/507/20106

NARZDZIA

Obudowa Midi ATX iBOX Piano 3393 nie wy-rnia si niczym specjalnym pod wzgldem

konstrukcyjnym, aczkolwiek posiada cieka-wy i futurystyczny design. Tak jak opisuje producent

jest drapiena i dosy adnie dobrana kolorystycznie,czarny i niebieski naprawd ciekawie razem wygldaj.Koszt obudowy ksztatuje si w granicach 115-160 z.Dane techniczne:

wymiary (wysoko 412mm / szeroko 185mm /gboko 403mm),

ilo zatok 5,25: 4 szt., ilo zatok 3,5: 7szt. (5 wewntrznych/ 2 zewntrzne),

wentylatory: 120 mm podwietlany niebiesk diod LED z przodu + miejsce na 80mm wentylator z tyuobudowy,

obudowa nie posiadaa zasilacza w zestawie, wyprowadzone wyjcia na zewntrz: 2xUSB, wej-

cie i wyjcie audio.

Najciekawszym elementem tej obudowy jest wywie-tlacz (model wywietlacza MY320-1LCD) poczonyz kontrolerem pracy wentylatorw chodzcych zamon-towanych wewntrz w zalenoci od aktualnej tempera-tury pracy caego komputera. Ponadto wywietlacz tenmoe wskazywa: aktualn godzin, czas pracy kom-putera od momentu wczenia (maksymalny czas to 99godzin i 59 minut), aktualny status pracy dysku (kiedysygnalizowane to byo za pomoc pojedynczej diody).

Mnie osobicie najbardziej interesowa fakt montau.Obudow t wykorzystaem przy skadaniu mojego naj-nowszego nabytku. Zestaw, ktry sobie zoyem (bezwdawania si w konkretne modele): pyta gwna ATX,karta graficzna z chipsetem ATI HD 5770, 2 dyski twar-de SATA, nagrywarka Blue Ray, zasilacz o mocy 600W,2 moduy po 2GB RAM.

Boki obudowy mona cign bez uywania narz-dzi jednak ju w rodku, nie ma mowy o montau beznarzdzi, trzeba uy rubokrta. Fakt ten jednak niedziwi, jeeli spojrzymy na przedzia cenowy obudw narynku i raczej jest to standardem.

Zasilacz i pyt gwn zamontowaem bez problemu,ale to nie powinno dziwi, a raczej powinno by norm,

jednak ta obudowa okazaa si by bardzo maa i cia-sna.

Niestety z 5 wewntrznych zatok 3,5 mog skorzy-sta z maksymalnie 3 zatok. Oczywicie mao kto mon-tuje wicej ni 2 dyski w swoim komputerze, ale jee-li znajdzie si kto taki to zdecydowanie to odradzam,w moim przypadku karta graficzna blokuje 2 miejsca nadyski. Wielko tej obudowy sprawia rwnie problemprzy podczania kabelkw SATA do dyskw twardychi adnego ich schowania.

Niestety to nie koniec wad tej konstrukcji, na obudo-

wie (po tym jak si cignie folie ochronne) bardzo a-two zostaj odciski palcw, a boki i caa konstrukcja do-sy atwo si wygina, zaznacz jednak, e to dotyczywielu obudw w tym przedziale.

Reasumujc, obudowa prezentuje si elegancko i po-siada dosy ciekawy modu wywietlacza LCD. Podczasmontau mocniejszych zestaww komputerowych mog wystpi problemy z montaem zbyt duych i zbyt duejiloci elementw, niestety w takim wypadku trzeba z wy-duonym czasem przeznaczonym na skadanie swoje-go upragnionego PC-ta. I jeszcze jedna uwaga, nie prze-stawiajcie jej za czsto, a jak ju to musicie zrobi to naj-lepiej uyjcie kawaka materiau, aby pniej nie byo po-trzeby usuwa ladw waszej interwencji.

Obudowa

MIDI ATX iBOXPiano 3393OCENA

ProducentiBOXTypObudowaStrona producentawww.ibox.pl RecenzentAndrzej Kuca

8/8/2019 hakin9 07.2010 PL

7/50

Narzdzia

www.hakin9.org 7

surowe) obsuguje wikszo popularnych forma-tw plikw BMP, JPG, MP3, DOC, ZIP, RAR, EXE itp.

Na pewno mocn stron programu jest prosty i przej-rzysty interfejs, odzyskiwanie plikw nie bdzie w tymprzypadku trudne nawet dla pocztkujcego uyt-kownika. Po uruchomieniu wybieramy partycj, ktr chcemy skanowa w celu odnalezienia plikw do po-tencjalnego odzyskania. Odzyskiwanie plikw moe-my zawzi do danego rodzaju plikw (np. tylko MP3lub video). Skanowanie jest wzgldnie szybkie, a do-datkow zalet jest moliwo zapisania sesji skano-wania i pniejszego powrotu do niej. Oprogramowa-nie jednak przeznaczone jest dla mao wymagajcych

uytkownikw. Odzyskanie zdj z karty pamici, do-kumentu z pendriva jest proste, atwe i przyjemne.Problemy zaczynaj si przy bardziej skomplikowa-nych operacjach program potrafi pracowa jedyniez dyskami logicznymi, co to znaczy? Nie masz party-cji, nie ma odzyskiwania. Profesjonalne programy po-trafi pracowa na dyskach fizycznych, a nie tylko lo-gicznych. Brak take moliwoci skanowania oraz od-zyskiwania plikw poprzez sie znacznie obnia funk-cjonalno programu.

Kolejn bolczk niepozwalajc zaklasyfikowago do profesjonalnych narzdzi jest brak moliwocipracy na obrazie dysku. Praca na obrazie dysku po-zwala mie pewno, i nie nadpiszemy adnych da-nych i nie bdziemy ingerowa w jego struktur. Mato kapitalne znaczenie np. dla informatyki ledczej, je-eli celem odzyskania danych jest nie tylko fizyczneotrzymanie pliku, ale take potwierdzenie jego obec-noci na badanym noniku. Bardziej wymagajcychuytkownikw zniechci take brak edytora heksade-cymalnego. Moe razi brak opcji wyboru jzyka, ma-o kiedy spotyka si oprogramowanie polskie, a in-terfejs dostpny jest tylko w jzyku angielskim. Sko-ro oprogramowanie przeznaczone jest dla mniej za-awansowanych uytkownikw, to w moim przekona-niu powinna by take polska wersja jzykowa wrazz instrukcj.

Nie ma chyba bardziej wraliwej czci syste-mu komputerowego ni dane. Kady sprzt,

kady system jestemy w stanie szybko pod-mieni, zastpi itd., z danymi natomiast rzecz masi inaczej. W centrach danych, na serwerach firmo-wych i przy komputerach strategicznych, administrato-rzy zdaj sobie spraw co znaczy odzyskiwanie danychoraz jak ryzykowny i skomplikowany jest to proces, dla-tego te stosowane s rnego rodzaje zabezpieczeniaprzed utrat danych.

Wypadaoby tu wymieni przede wszystkim: ko-pie bezpieczestwa, obrazy systemu, mirroring syste-mu, rnego typu metody zarzdzania dyskami (RA-

ID-y), jednake nie w kadym przypadku s to rozwi-zania skuteczne lub moliwe do zastosowania. Meto-dy te chroni gwnie przed awariami systemw, co jed-nak jeeli nie jest moliwe zastosowanie adnej z po-wyszych? W obecnym czasie wykorzystuje si rno-rakie noniki danych karty SD, pendrivy, dyski przeno-ne, czy chociaby dyski na urzdzeniach przenonychniemajce w kadej chwili moliwoci wykonania kopiibezpieczestwa nie zawsze mamy moliwo odpo-wiedniego zabezpieczenia danych.

Co wic zrobi, eby odzyska utracone ju dane?W zasadzie istniej dwie moliwoci uzalenione odwanoci danych i stopnia zdeterminowania do ich od-zyskania. Odzyskiwanie we wasnym zakresie za po-moc dedykowanego oprogramowania albo skorzysta-nie z profesjonalnej firmy do odzyskiwania danych (np.Ontrack, Mediarecovery). Na jakie zagroenia s nara-one noniki danych? Wyrniamy dwa rodzaje uszko-dze: logiczne i fizyczne. Fizyczne, pomijajc uszko-dzone noniki przenone (pyty CD, DVD) s raczej niedo odzyskania bez specjalistycznego laboratorium. Na-tomiast uszkodzenia logiczne czsto udaje si rozwi-za za pomoc oprogramowania dedykowanego. Jed-nym z komercyjnych rozwiza takiego oprogramowa-nia jest program strongrecovery sprbujmy si muprzyjrze bliej.

Aplikacja pozwala na odzyskiwanie formatw plikwtakich jak FAT12, FAT16, FAT32, NTFS i RAW (tzw.

Odzyskiwanie

danychOCENA

ProducentStrongRecoveryTypProgram narzdziowyStrona producentawww.strongrecovery.comRecenzentTomasz Zarychta

8/8/2019 hakin9 07.2010 PL

8/507/20108

POCZTKI

Dla wikszoci z nas twardy dysk jest po prostu

zamknitym pudekiem, w ktrym znajduj sinasze dane. Niestety bardzo czsto brak pod-stawowej wiedzy o jego konstrukcji oraz niewaciweobchodzenie si z nim doprowadza nas do bezpowrot-nej utraty zawartych na min danych. Dlaczego nie wol-no otwiera twardego dysku? Jak dziaa twardy dysk?Dlaczego naley obchodzi si z nim jak z przysowio-wym jajkiem ? Dlaczego naley sprawdza temperaturHDD i dba, aby nie by zakurzony? Na te i na wiele in-nych pyta postaramy si odpowiedzie.

Rola twardego dyskuDzisiejsze dyski twarde znacznie rni si od pierwszychrozwiza pamici maszyn przetwarzajcych dane.

Powstae w pierwszej poowie XIX wieku karty, a na-stpnie tamy dziurkowane suyy do obsugi prostychmaszyn (np. w fabrykach produkcyjnych) wg zakodo-wanych na nich bardzo prostych sekwencji. Dopieropod koniec pierwszej poowy XX wieku, wraz z powsta-niem podwalin elektronicznych maszyn liczcych (opar-tych jeszcze o technologi lampow i elektromagnetycz-ne przekaniki) zaczto szuka innych rozwiza umo-liwiajcych bardziej efektywne magazynowanie i prze-twarzanie coraz wikszej iloci danych. W konsekwencji,prawdziwy przeom przynis dopiero rozwj techniki p-przewodnikowej wkrtce potem zaczto konstruowapierwsze rozwizania, wykorzystujce ferromagnetycz-ne waciwoci niektrych stopw metali. Jednym z ta-

kich rozwiza byy bbny magnetyczne (pami bbno-

wa). Rwnoczenie bardzo szybko zaczto uywa po-wszechnie stosowane magnetyczne tamy magnetofo-nowe oraz konstruowa pierwsze twarde dyski.

Dzisiejszy twardy dysk peni jedn z najwaniejszychfunkcji w komputerach osobistych. Przechowywane s nanim wszystkie dane uytkowe i konfiguracyjne systemuoperacyjnego. Jest take jednym z podstawowych noni-kw pamici masowych umoliwiajcych przechowywa-nie, edycj i zapis danych operacyjnych uytkownika.

Budowa twardego dyskuDysk twardy (ang. Hard Disk Drive HDD) jest urzdze-niem pamici nieulotnej (staej), ktra przechowuje da-ne zakodowane cyfrowo na szybko obracajcych si ta-lerzach (ang. platers ). Talerze s sztywne (std w angiel-skiej nazwie sowo hard ) do ich produkcji wykorzystujesi materia niemagnetyczny szko lub aluminium. Nanich napylony jest ptwardy ferromagnetyk, ktry umo-liwia sformowanie stabilnych domen magnetycznychi przechowywanie w nich kierunkowo namagnesowa-nych dipoli magnetycznych. W pierwszych dyskach jakoferromagnetyku uywano trjtlenku elaza; w latach p-niejszych zosta on zastpiony przez stop kobaltu.

Caa mechanika jest zamknita w szczelnej obudo-wie, posiadajcej filtrowane otwory wentylacyjne, kt-re odprowadzaj cz ciepa oraz wyrwnuj cinieniewewntrz dysku. Dyski s zamykane w warunkach ste-rylnych; nawet odrobina kurzu bdcego w powietrzu

Dysk twardy budowa

i dziaanieNiniejszy artyku jest oglnym zarysem budowy i dziaaniadzisiejszych dyskw twardych. W kilku sowach przyblianam te problematyk, w jaki sposb obchodzi siz naszym HDD, aby jego ywotno bya jak najdusza.

Artur Skrouba

Dowiesz si: jak rol peni dysk twardy, jak jest zbudowany dzisiejszy HDD, zarys dziaania twardego dysku, jakie s mocne i sabe strony HDD, jak naley postpowa aby maksymalnie zwikszy ywot-

no HDD.

Powiniene wiedzie: mie oglne pojcie o funkcjonowaniu i budowie komputera

osobistego.

8/8/2019 hakin9 07.2010 PL

9/50

Budowa i ywotno HDD

www.hakin9.org 9

Powysze wymagania doprowadziy do minimalizacjiposzczeglnych elementw mechaniki twardych dys-kw. Dotyczy to w szczeglnoci ich wagi i rozmiarw.

Nowoczesne dyski posiadaj domeny mniejsze ni 10 nm(0,000001 mm) wymaga to ogromnej precyzji oraz mak-symalnie maej masy ramienia pozycjonera umoliwiajcejbyskawiczne ruchy nad obszarem roboczym platerw.

Ponadto, w wikszoci dzisiejszych dyskw na po-zycjonerze zamontowany jest rnicowy przedwzmac-niacz sygnau (ang. preamplifier , potocznie: preamp ),umoliwiajcy dostarczenie stabilnego sygnau do mo-duu elektroniki zewntrznej (Rysunek 1).

Modu elektroniki zewntrznej zamontowany jest nazewntrz dysku. W duym uproszczeniu jest to mikro-komputer obsugujcy w peni (od wprowadzenia stan-dardu ATA wprowadzono integracj kontrolera) wszyst-

kie operacje wykonywane przez twardy dysk. Skadasi z kilku podstawowych blokw (Rysunek 2).

To co najbardziej odrnia dyski midzy sob to inter-face sygnaowy oraz prdko obrotowa.

W chwili obecnej dominuj dwa standardy (wrazz ich pochodnymi):

word serial interfaces rodzaj interface pracuj-cego w sposb rwnolegy najbardziej znanestandardy to IDE (ATA), EIDE oraz SCSI,

atmosferycznym byskawicznie doprowadzi do degra-dacji samego nonika podczas jego pracy.

Talerze s osadzone na piacie oyska silnika nap-dzajcego twardy dysk. W dzisiejszych konstrukcjachstosuje si od 1 do 4 talerzy (bardzo rzadko wicej).

Wiksza ilo talerzy (spotykana czciej w latach80 i 90 ubiegego stulecia) zwikszaa ryzyko awariiposzczeglnych gowic.

Kluczowym elementem mechaniki kadego dysku jest ruchome rami (pozycjoner), na kocach ktregozamontowane s szczotki gowic. Skada si on z ob-rotowego oyska osiowego (na ktrym jest zamonto-wany), ramienia (umoliwiajcego prac gowic nadoraz pod kadym z talerzy) oraz elektromechanicz-nego serwomechanizmu magnetycznego, umoliwia-

jcego dokadne i szybkie pozycjonowanie gowic nad

zadanym obszarem talerzy.Sama konstrukcja pozycjonera jest bardzo precyzyjna

i delikatna. Spowodowane jest to dwoma czynnikami:

coraz wikszymi wymogami dotyczcymi precy-zji pozycjonowania (ze wzgldu na coraz wikszeupakowanie danych na platerach),

coraz wikszymi wymogami szybkoci reakcji me-chaniki (np. czas dostpu do pofragmentowanychblokw danych).

Rysunek 1. A - talerz dysku (plater); B - piasta silnika dysku; C - gowica dysku; D - rami pozycjonera dysku; E - serwomechanizm dysku; F -o pozycjonera dysku; G - przedwzmacniacz sygnau; H - ltr wentylacyjny

8/8/2019 hakin9 07.2010 PL

10/507/201010

POCZTKI

modern bit serial interfaces rodzaj interface pra-cujcego w sposb szeregowy. Interfejs w przeci-wiestwie do swojego poprzednika przesya da-ne szeregowo. W porwnaniu z poprzednikiem nie

jest to naraz kilkadziesit sygnaw, tyko jeden ale za to nieporwnywalnie szybciej. Najbardziejznane standardy to FC, SATA czy SAS.

Prdko obrotowa dzisiejszych twardych dyskw mie-ci si w przedziale od 4.200 do 15.000 obrotw na mi-nut (ang. Revolutions Per Minute RPM). Prdkociz niszego przedziau stosowane byy w starszych mo-delach oraz w dyskach stosowanych do urzdze prze-nonych. Natomiast prdkoci od 7.200 wzwy stosowa-ne s w nowoczesnych dyskach oraz wydajnych rozwi-zaniach serwerowych bd workstation (SAS, SCSI).

Jak dziaa dysk twardyW momencie kiedy wczymy komputer w pierwszejkolejnoci prac zaczyna procesor sygnaowy dys-ku. Odczytuje on procedury zawarte w biosie dysku,ktre uruchamiaj silnik HDD. Po osigniciu zaoo-nej prdkoci obrotowej platerw uruchomiony zosta-

je serwomechanizm pozycjonera, ktry przesuwa jegorami nad obszar talerza zawierajcy mikrooprogramo-wanie wewntrzne samego nonika. Obszar ten nazy-wa si stref serwisow dysku (ang. Service Area , po-

tocznie : SA).

Osignicie minimalnej prdkoci jest niezbdnedo wytworzenia si pod kocwkami pozycjonera (tuprzed szczotkami gowic) tzw. poduszki powietrznej,ktra unoszc lekko gowice nie dopuszcza do ich fi-zycznego kontaktu z wirujcym platerem.

W nastpnej kolejnoci gowice odczytuj zamiesz-czone w SA fabryczne moduy wsadowe zawierajcetakie informacje jak nazwa dysku, nr seryjny, fizycznytranslator dysku (stworzony w oparciu o fabryczn li-st zawierajcych bdy sektorw) oraz adaptywne pa-rametry pracy gowic.

Po poprawnym odczycie struktur serwisowych dyskzgasza komunikat status ready w tym momencie zo-staje on wywietlony w biosie komputera i jest gotowydo pracy moe odczytywa i zapisywa dane.

Wikszo dzisiejszych dyskw posiada gowice

magneto-rezystywne odczyt stanu logicznego po-szczeglnych domen magnetycznych polega na zmia-nie rezystancji gowicy odczytujcej w zalenoci odpolaryzacji zawartych w nich dipoli.

Sam zapis dokonuje si poprzez zmian nateniapola magnetycznego (generowanego przez gowic)

w dyskach twardych gowica magnesuje ferromagne-tyk, a do penego nasycenia (zmiana kierunku nama-gnesowania dipoli), wykorzystujc waciwoci histere-zy magnetycznej. Po namagnesowaniu domeny i usu-niciu pola magnesujcego ptwardy ferromagnetyk

pozostaje stabilnie namagnesowany.

Rysunek 2. A - procesora sygnaowego - jednostki zarzdzajcej prac caego nonika; B - pamici ROM - zawierajcej oprogramowanie proceduralne; C - interface sygnaowego - np. ATA, SATA; D - pamici podrcznej RAM - buforujcej zapis i odczyt; E - moduu zasilania oraz kontroli pracy silnika; F - bloku sterujcego serwomechanizmem pozycjonera

8/8/2019 hakin9 07.2010 PL

11/50

Budowa i ywotno HDD

www.hakin9.org 11

Mocne strony HDDNajwaniejsz zalet dzisiejszych twardych dyskw

jest ich pojemno. Wci trwaj badania nad ich roz-wojem we wszystkich liczcych si laboratoriach nawiecie. Tak due upakowanie danych jest moliwemidzy innymi dziki wci rozwijajcym si technolo-giom badawczym.

Jednym z ostatnich takich przykadw jest zastoso-wanie tzw. zapisu prostopadego, ktry umoliwia du-o wiksze upakowanie danych (domeny magnetycznenie s uoone pasko na noniku tylko s skierowanew gb warstwy paramagnetycznej) oraz wiksz szyb-ko dziaania dysku. Zastosowanie tej technologii teo-retycznie umoliwia upakowanie danych w iloci ok. 1TB na cal kwadratowy. Oznacza to, e wg dzisiejszychstandardw budowy dyskw 3,5 calowych (4 platery,

osiem powierzchni roboczych) moliwe bdzie konstru-owanie dyskw o pojemnoci ok. 300 TB.

Kolejn wan cech dzisiejszych twardych dys-kw jest ich cena i dostpno. Dzisiejszym standar-dem jest dysk. ok. 500 GB co przy cenie ok. 200 PLN-

jest najbardziej korzystn ofert na rynku pamici ma-sowych w przeliczeniu PLN za 1 GB.

Naley wspomnie te o mobilnoci i zadowalajcejprdkoci nowoczesnych HDD. Wystpuj one w r-nych rozmiarach zewntrznych poczwszy od 0,8 ca-la i koczc na dyskach 3,5 calowych. Umoliwia to sto-

sowanie ich do nawet bardzo maych urzdze (typu te-lefony, kamery czy aparaty) oraz stosowanie jako pami-ci przenone.

Sabe strony HDDNiewtpliwie do najsabszych stron dyskw twardych na-ley ich niska odporno na awari. Ze wzgldu na swo-

j konstrukcj naraone s one w sposb szczeglny nawszelkiego rodzaju czynniki udarowe (uderzenia, puk-nicia, upadki).

Kolejnym czynnikiem, ktry ma destrukcyjny wpyw naich ywotno jest wysoka temperatura, ktra powstajew czasie pracy nonika. Moe ona doprowadzi do fi-zycznej degradacji samego nonika i w konsekwencji donieodwracalnego zniszczenia zawartych na nim danych.

Zwikszenie ywotnoci HDDW 1992 r. firma IBM po raz pierwszy zastosowaaw swoim twardym dysku (SCSI) pierwowzr systemu,ktry pozwala monitorowa prac nonika. Implemen-tacja ta z biegiem czasu ewoluowaa i doprowadziado powstania standardu S.M.A.R.T. (ang. Self-Monito-ring, Analysis and Reporting Technology ), ktry penirol swojego rodzaju systemu wczesnego ostrzegania przed moliwoci wystpienia awarii.

W wielu przypadkach monitorowanie na bieco pa-rametrw S.M.A.R.T. umoliwia nam kontrol takichparametrw pracy dysku jak:

temperatura, pojawianie si nieresponsywnych sektorw (ang.

bad sectors ), ilo wcze i wycze dysku, czny czas pracy dysku.

Prawidowe reagowanie na ew. nieprawidowoci (np.S.M.A.R.T. wykazuje za wysok temperatur pracydysku) pozwoli nam w znaczny sposb wyduy y-wotno naszego nonika.

Niestety naley pamita, e powyszy system ofe-ruje tylko biern kontrol dziaajcego nonika; nieuchroni on nas przed konsekwencjami wystpienianagej awarii spowodowanej innymi czynnikami.

Dlatego te naley przestrzega kilku zasad, ktre po-zwol zminimalizowa szanse awarii twardego dysku:

w komputerach stacjonarnych naley regularniekontrolowa czysto; gruba warstwa kurzu nadysku potra bardzo szybko doprowadzi do deka-libracji termicznej dysku,

jeeli to moliwe zamontujmy w komputerze wen-tylator skierowany na dysk, bdzie on skuteczniezmniejsza temperatur podczas pracy dysku i jed-noczenie spowalnia proces osadzania si kurzu,

komputer stacjonarny nie powinien sta pod biur-kiem w pobliu naszych ng; nawet lekkie uderze-

nia (szczeglnie podczas jego pracy) mog byzabjcze dla naszego HDD, komputer nie powinien by umiejscowiony w pobli-

u rde ciepa, np. kaloryfera, jeeli mamy komputer umiejscowiony na biurku

(stacjonarny, bd przenony), nie wolno nam ude-rza w jego blat (szczeglnie podczas pracy dysk

jest naraony na dekalibracj mechaniczn), naley pamita, aby nie pozostawia na duszy

czas pracujcego komputera (oczywicie z wyjt-kiem sytuacji, gdzie jestemy do tego zmuszeni),

komputery przenone (np. laptopy) maj mao wy-dajny system wentylacyjny; dlatego te absolutnienie wolno wykonywa na nich duszych prac (po-wyej kilkunastu minut) w warunkach, w ktrychmoe doprowadzi to do przegrzania dysku. Przy-kadem moe tu by praca na mikkim podou, ta-kim jak koc, bd pociel w takich warunkachskuteczno systemu odprowadzania ciepa spadaniemal do kilkunastu procent,

dyski zewntrzne s duo mocniej naraone naczynniki udarowe lub termiczne; dotyczy to w szcze-glnoci dyskw 3.5 calowych (wg statystyk ok. po-owy z nich ulega awarii do ok. roku czasu !) dlate-go powinny by one traktowane w sposb wyjtkowoostrony. Optymalnymi warunkami pracy takich dys-kw jest znalezienie dla nich bezpiecznego miejscana biurku i bez zwisajcych na wierzchu przewodw,

8/8/2019 hakin9 07.2010 PL

12/507/201012

POCZTKI

wybierajmy zawsze zewntrzne dyski, ktre le,a nie stoj (dotyczy 3.5 calowych) dyski stojceczsto ulegaj przewrceniu,

nie przesuwajmy i nie podnomy dysku zewntrznego(podczas pracy jest to szczeglnie niebezpieczne),

ograniczmy do maksimum przypadki przenoszeniadysku,

dyski 2.5 calowe s w sposb szczeglny narao-ne na nawet delikatne nacinicia w takich sytu-acjach czsto dochodzi do nieprawidowego zatrzy-mania (zarycia si) gowic na wirujcym platerze,

przed kadym przenoszeniem dysku naley pomy-le o ich stosownym zabezpieczeniu nie naleyprzenosi luzem dysku bez adnego zabezpieczenia

w razie przypadkowego upadku szansa na utratdostpu do danych wynosi sporo ponad 90%,

wystpowanie anomalii napiciowych jest istn zmor, jeeli chodzi o uszkodzenia elektroniki dys-kw twardych. W tego typu sytuacjach elementemnajbardziej zawodnym jest zasilacz komputera dlatego zwrmy uwag na jego jako.

Przestrzeganie powyszych i wielu innych, podstawo-wych zasad pozwoli nam wydajnie zwikszy ywot-no naszych dyskw i zminimalizowa do minimumryzyko wystpienia awarii.

W tym miejscu naley jednak stwierdzi, e metody

bierne nie zmniejszaj szans wystpienia utraty danychz przyczyn logicznych (skasowanie danych, format,itp.). Tutaj jedyn metod jest systematyczno w okre-sowym wykonywaniu kopii zapasowych. Jest to jedynapewna metoda zabezpieczenia przed utrat danych.

PodsumowanieMamy nadziej, e przedstawiony powyej zarys budowy,dziaania i warunkw pracy twardego dysku pozwoli Czy-telnikowi w bardzo oglnym pojciu przybliy specyfikurzdzenia jakim jest dysk twardy. Wbrew pozorom jest tobardzo skomplikowane urzdzenie wymagajce szcze-glnej starannoci obchodzenia si z nim, nawet w czasiecodziennej pracy. W przypadku awarii samodzielne prby

jego naprawy, bd odzyskania danych wi si ogrom-nym ryzykiem zwizanym z koniecznoci posiadania du-ej wiedzy i specjalistycznego laboratorium.

Niestety, w ostatnim okresie na polskim rynku pojawiasi bardzo wiele firm oferujcych tak usug, jednak jej ja-ko pozostawia wiele do yczenia. W caej tej masie firm

jest tylko kilka, ktre dysponuj stosown wiedz i warsz-tatem pozwalajcym odzyska dane we wszystkich mo-liwych przypadkach (tzn. tam gdzie fizycznie jest to moli-we). Dlatego kady, kto zechce skorzysta z takiej usugi,powinien bardzo starannie dokonywa wyboru firmy, bdosoby, ktrej chcemy powierzy swoje noniki w celu od-zyskania danych. Kuriozalne jest to, e na rynku monaspotka coraz wicej firm lub osb reklamujcych si jako

jednostki wyspecjalizowane w odzyskiwaniu danych, jed-noczenie nie majcych gruntownej wiedzy oraz warszta-tu pozwalajcego na skuteczne wykonanie takiej usugi.I tak, np. wiatowy redni poziom skutecznoci odzyski-wania danych wynosi ok. 76% na 100 zgoszonych przy-padkw (rdo: Wikipedia). Jest to spowodowane tym, isytuacje takie jak nadpisanie utraconych danych, bd fi-zyczne uszkodzenie powierzchni roboczej nonikw nienale do wyjtkw. Niestety, coraz czciej mona spo-tka reklamy, ktre delikatnie mwic nacigaj rzeczy-wisto. Coraz wicej firm ogasza si jako ta najlepsza ,przelicytowujc si w skutecznoci: 95% czy nawet 99%!Mao tego: na rynku pojawiaj si reklamy sugerujce bli-sko 100% skuteczno (!) w odzyskiwaniu danych czy temwice o gwarancji na odzyskanie danych. Jest to oma-mianie zdesperowanego klienta i wiadome wprowadza-

nie go w bd (powinien si temu przyjrze UOKIK). Niema bowiem na wiecie firmy potraficej odzyskiwa danez kadego przypadku ich utraty. Czsto dziaania te maj na celu tylko zapanie klienta w celu wycignicia od niegopienidzy za usug sprawdzenia, bd analizy czy si dadane odzyska, a na kocu stwierdzenia Niestety nie uda-o si, ale si napracowaem, wic kliencie zapa! .

Jeszcze wiksz patologi jest funkcjonowanie tzw. bez- patnej analizy, ktra jest warunkowa. Z grubsza rzecz bio-rc, polega to na tym, e coraz wicej firm oferuje bezpat-n analiz nonika pod warunkiem, e po jej przeprowa-

dzeniu klient skorzysta w danej firmie z usugi odzyskaniadanych. W przypadku rezygnacji, klient musi pokry kosztyprzeprowadzonej analizy oraz inne ukryte opaty w przy-padku dyskw twardych mog to by kwoty do kilkuset zo-tych. I nie byoby w tym nic zego, gdyby nie fakt, e takapraktyka przyczynia si do rozpowszechnienia si pewne-go procederu, a mianowicie: coraz czciej nieuczciwe fir-my po wykonaniu analizy decyduj si na stosowanie cenzaporowych, np. 12 tysicy zotych za odzyskanie danychz jednego dysku. Jak atwo przewidzie w efekcie klientrezygnuje i z tego tytuu niestety musi zapaci za wykona-n analiz. Mao tego niektre firmy dodatkowo daj take opaty za wydanie dysku (nonika) poniewa wy-konay dodatkow prac wykraczajc poza standardo-w analiz wstpn W tej sytuacji waciciel sprztu mazwizane rce, poniewa wczeniej, w momencie przyj-cia dysku do analizy podpisa stosowne zobowizanie bezdokadnego zapoznania si z nim. Faktycznie przy takichpraktykach teoretyczna skuteczno moe osiga pra-wie 100% i jeszcze gwarantuje przypyw gotwki w ka-dym moliwym przypadku. Prowadzc tak firm, rwniedobrze mona by nic nie robi oprcz wystawiania fak-tur. Wystarczy mie dobry PR, profesjonalnie wygldajc stron WWW czy reprezentacyjn siedzib.

Dlatego pamitajmy przed wyborem firmy odzyskuj-cej dane powinnimy gruntownie przeanalizowa jej rze-telno. Ufajmy tylko sprawdzonym firmom, mogcym sipochwali wieloletni praktyk powiadczon certyfikata-

8/8/2019 hakin9 07.2010 PL

13/50

Budowa i ywotno HDD

www.hakin9.org 13

mi i nagrodami (takimi jak medale, nagrody konsumenc-kie, powiadczenia dla rzetelnych firm). Take przed od-daniem (lub wysaniem) nonika naley zapozna siz warunkami, ktre bdziemy musieli pisemnie zaakcep-towa (dokadnie czytajmy druki zamwie i regulaminy).

W trakcie rozmowy wstpnej sprawdmy, czy bezpatnaanaliza jest faktycznie bezwarunkowa oraz domagajmysi podania wideek cenowych (chodzi o cen maksymal-n!) za konkretny rodzaj potencjalnego moliwego uszko-dzenia, tak aby unikn przykrych niespodzianek.

ARTUR SKROUBA Autor studiowa na wydziale Fizyki i Astronomii UniwersytetuWarszawskiego; jest take absolwentem Szkoy Gwnej Han-dlowej w Warszawie na kierunku Finanse i Bankowo. Na codzie zajmuje si profesjonalnym odzyskiwaniem danych w r-mie DataMax Recovery, w ktrej peni funkcj jednego z iny-nierw technicznych. Jest take jej zaoycielem Firma Data-Max Recovery Kontakt z autorem: [email protected].

UwagaZarwno autor, jak i redakcja, nie ponosz adnej odpowie-dzialnoci za jakiekolwiek szkody i straty powstae w wynikustosowanie si do wskazwek w niniejszym artykule. W mo-mencie utraty dostpu do danych nie zaleca si samodziel-nego wykonywania jakichkolwiek dziaa, w wyniku ktrychmoe doj do zagroenia zdrowia bd ycia lub wystpie-nia znacznych strat.

Reklama
http://www.procertiv.pl/http://www.procertiv.pl/http://www.procertiv.pl/

8/8/2019 hakin9 07.2010 PL

14/507/201014

OBRONA

Na wszystkie powysze pytania moemy odpo-

wiedzie: tak majc do dyspozycji darmoweoprogramowanie scapy. Jedn moliwoci ofe-rowanych przez to narzdzie jest generowanie pakie-tw przy czym, w odrnieniu od innych znanych ge-neratorw pakietw (takich jak: sendip, nemesis, netdu-de, czy hping), scapy:

posiada bardzo du baz obsugiwanych protoko-w,

jest prosty i szybki w obsudze, zapewnia uytkownikowi wysok elastyczno pod-

czas korzystania z oferowanej przez siebie funkcjo-nalnoci,

jest aktywnie rozwijany, oferuje bardzo szerokie moliwoci skryptowania, zapewnia relatywnie proste moliwoci implemen-

tacji obsugi zupenie nowego rodzaju pakietwi protokow (wymagana jest przy tym jednak zna-

jomo jzyka python).

Sam autor narzdzia twierdzi, e jest ono w staniezastpi takie aplikacje jak: hping, 85% funkcjonal-noci nmap-a, arpspoof, arp-sk, arping, tcpdump, te-thereal czy p0f. Nie bdziemy polemizowa z tymtwierdzeniem zaprezentujemy za to praktyczneprzykady wykorzystania scapy, niech one same b-d komentarzem do moliwoci tego oprogramowa-nia.

ls() wywietlenie obsugiwanych pakietw

Scapy w wersji 2.1.0 obsuguje przeszo 300 rodzajw pakietw, przy czym pakiet rozumiemy tutaj bardzooglnie jako pewien odpowiednio sformatowany zbir danych, ktry moe by przesyany przez sie (stosow-ne formatowanie okrela odpowiedni protok siecio-wy). Na Listingu 1 prezentujemy niewielki fragment li-sty pakietw zaimplementowanych w scapy, przy czymdostpne s dodatkowe pluginy uzupeniajce t list(przykad protok OSPF).

ls() wywietlenie szczegw budowypakietuPrzed utworzeniem pakietu w scapy warto zapoznasi z jego struktur (Listing 2).

W pierwszej kolumnie podawana jest nazwa kadegopola, w drugiej jego typ, a w trzeciej warto domyl-na przy tworzeniu nowego pakietu.

Tworzenie nowego pakietuW scapy jest to prosta operacja:

>>> p = ICMP()

Wywietlenie szczegw pakietuW przykadzie z Listingu 3 jako domylny typ ICMP zostaustawiony echo-request (znany z popularnego ping-a).Jeli przy budowie pakietu chcielibymy poda inny typ,moemy zrobi to w sposb przedstawiony na Listingu 4.

Generator Pakietw Scapy

Czy istnieje atwy sposb na wygenerowanie niemaldowolnych pakietw? Czy mona bez wikszych trudnocizmodyfikowa przechwycony pakiet i wysa go ponownie?Czy nieskomplikowanym zadaniem jest przygotowaniefuzzera protokou sieciowego?

Micha Sajdak

Dowiesz si: jak posugiwa si oprogramowaniem scapy, jak generowa (niemal) dowolny ruch sieciowy, jak wykona fuzzing protokou sieciowego.

Powiniene wiedzie: powiniene zna podstawowe protokoy wykorzystywane

w sieci Internet, powiniene zna dowolny jzyk programowania.

8/8/2019 hakin9 07.2010 PL

15/50

Scapy

www.hakin9.org 15

Wygenerowanie grupy pakietwSprbujmy tym razem wygenerowa nie jeden pakiet

a ca ich grup, mianowicie 19 pakietw ICMP o polutype, przyjmujcym wartoci od 0 do 18 (pozostae po-la przyjm wartoci domylne ustalone w scapy). Tymrazem skorzystamy z funkcji sr() (jej nazwa to skrtod send-receive ), wysyajcej w warstwie 3. Funkcjata zwraca dwie wartoci: pakiety z wysyanego zbioru,ktre doczekay si odpowiedzi oraz te, na ktre odpo-wied nie przysza patrz Listing 12.

Proste skanowanie portwWykorzystujc wiedz z powyszego przykadu, wy-konajmy prosty skaner portw (Listing 13). W naszymprzypadku bdzie to wysanie 4 pakietw TCP z usta-wion flag Syn, na cztery rne porty.

W ptli powyej przegldamy ca zwrcon tabli-c o nazwie a. Kady element tej tablicy posiada dwakolejne elementy pakiet wysany oraz otrzymana naniego odpowied (w ptli odpowiadaj tym elementomzmienne req oraz resp ). Jeli odpowied jest pakietemTCP z flag SA, oznacza to e badany port jest otwarty(otrzymalimy segment TCP z flagami SA w odpowiedzina segment z flag S).

Podsuchiwanie ruchu oraz modyfikacjakomunikacji sieciowej

Aby podsucha ruch, moemy skorzysta z wbudowa-nej w scapy funkcji sniff() , moemy rwnie wczytazbir pakietw w formacie libpcap funkcja rdpcap() .

Na Listingu 14 zauwamy, e przechwycony przeznas pakiet IP zawiera pocztkowo poprawn sum kon-troln, jednak po zmianie docelowego adresu IP, sumakontrolna bdzie bdna! Dlatego, aby wysa pakietbez bdw, poprosilimy scapy o automatyczne wyge-nerowanie prawidowej sumy za nas, podstawiajc jejwarto na pust:

i[IP].chksum=None

Odczytanie podsuchanych pakietw ze zrzutu w for-macie libpcap jest rwnie proste (Listing 15.)

Przy okazji warto rwnie wspomnie o funkcjiwrpcap() zapisujcej pakiety w formacie libpcap. Ta-ka moliwo moe okaza si przydatna, jeli chcie-libymy wybrane pakiety podda obrbce lub analiziew innym, zewntrznym narzdziu. Dalej (Listing 16)prezentujemy przykad sfragmentowania komunikacjiIP, z wykorzystaniem narzdzia tcprewrite , ktre po-siada wkompilowan obsug mechanizmu fragroute.

Fuzzing protokow sieciowychW skrcie, fuzzing protokow sieciowych, polega nawygenerowaniu pakietw niekoniecznie zgodnych zespecyfikacj protokou oraz sprawdzeniu w jaki sposb

W przykadzie na Listingu 4 skorzystalimy z poda-nia typu bezporednio lub za porednictwem mnemoni-ka. Mnemoniki dla pl typu enum moemy wywietli zapomoc skadni: pakiet.nazwa_pola.i2s

czenie pakietwJak wiemy, peen prawidowy pakiet ICMP, skada siz kilku warstw: ramka (na potrzebny artykuu nazywamy

j pakietem ) warstwy drugiej modelu OSI, pakiet IP orazpakiet ICMP. Zmy dwa pakiety IP oraz wczeniejstworzony ICMP (Listing 4, Listing 5). Ramka etherne-towa zostanie dodana pniej ju przez scapy.

Zauwamy, e wszystkie pola zostay wypenionezgodnie z wartociami domylnymi (polecenie ls(typ_pakietu) ) a dodatkowo pole IP.proto zostao wypenio-ne poprawnie tj. pakiet protokou IP w powyszym pa-

kiecie transportuje pakiet protoku ICMP. Zwrmy rw-nie uwag na pola chksum przyjy one warto None .W tym przypadku oznacza to, e sumy kontrolne zosta-n wyliczone na podstawie tego jak zbudujemy pakiet a wykona to za nas scapy. Aktualn sum kontroln mo-na zobaczy wykorzystujc metod show2 (Listing 6).

Przy okazji wspomnijmy, e dostpne w danej kla-sie zmienne i metody moemy uzyska poleceniem dir(wynik tego polecania, widoczny na Listingu 7, zostaskrcony w celu uatwienia prezentacji wynikw).

Z kolei pomoc dotyczc interesujcej nas metody

moemy uzyska poleceniem help() Listing 8.

Modyfikacja zawartoci pakietuAby zmodyfikowa pole w interesujcej nas warstwie,stosujemy notacj: pakiet[warstwa].pole = warto .Na przykad:

p1[IP].dst = '192.168.0.1'

Wysanie pakietu oraz odebranie odpowiedziIstnieje kilka funkcji wysyajcych oraz odbierajcychpakiety mona je pozna wydajc polecenie lsc() oraz help (nazwa_funkcji). W przykadzie poniej wy-korzystamy funkcj sr1() , ktra wysya pakiety w war-stwie 3 modelu OSI (tj. ramka warstwy drugiej zostanieza nas uzupeniona) oraz odbiera pierwszy pakiet odpo-wiedzi (Listing 9).

Zauwamy, e nie musielimy uzupenia pakietuo ramk ethernetow, t prac wykonaa za nas funk-cja sr1() . Jeli chcielibymy jednak kontrolowa danerwnie w warstwie 2, musielibymy skorzysta z funk-cji srp1() oraz uzupeni pakiet o ramk Ethernet. Przyzaoeniu, e w zmiennej i zdefiniowany mamy pakietIP()/ICMP(), dooenie ramki ethernetowej wyglda tak

jak na Listingu 10.Dla dalszego zobrazowania moliwoci oferowanych

przez scapy, prezentujemy wynik wspomnianego wyejpolecenia lsc() widoczny na Listingu 11.

8/8/2019 hakin9 07.2010 PL

16/507/201016

OBRONA

na tak komunikacj zareaguje docelowy system. Przy-kadowo, niepoprawnym pakietem moe by pakiet IPz ustalon nietypow wartoci w polu IP.version . Cz-sto w ten sposb wykryta moe by bdna obsuga da-nego pakietu przez docelowy system, co niekiedy ko-czy si jego kompromitacj (patrz np. prac Wifi Advan-ced Fuzzing @ Blackhat EU 07, pokazujc podatno-ci umoliwiajce wykonanie wrogiego kodu na bez-przewodowym punkcie dostpowym z uprawnieniami

jdra systemu operacyjnego potencjalnie nawet bezkoniecznoci uwierzytelnienia si w urzdzeniu accesspoint!). Najprostsza posta realizacji fuzzingu w scapywyglda tak jak na Listingu 17.

Odpowiadajcy takiej komunikacji, zrzut wykonanyprzy pomocy tcpdump-a wyglda z kolei tak jak na Li-stingu 18.

Analogicznie do przykadu pokazanego na Listingu18, istnieje moliwo rcznego podstawienia danegopola, nie wartoci, a funkcj, zwracajc warto loso-w (Listing 19).

Prosty program w pythonieJako ilustracj do moliwoci skryptowania z wykorzy-staniem scapy, przedstawiamy szkic bardzo prostegoskanera portw napisanego w pythonie. Komentarzemdo skryptu niech bdzie sam kod rdowy, jak na Li-stingu 20.

PodsumowanieDociekliwych Czytelnikw zachcamy do wasnegoeksperymentowania z oprogramowaniem scapy. Mamynadziej, e pokazalimy moc tego narzdzia, ktregorozmaite zastosowania s ograniczone niemal tylko po-mysowoci uytkownika.

Listing 1. Typy pakietw dostpne w scapy

securitum-t1:~# scapy

Welcome to Scapy (2.1.0)

>>> ls()

ARP : ARP

ASN1_Packet : None

BOOTP : BOOTP

CookedLinux : cooked linux

DHCP : DHCP options

DHCP6 : DHCPv6 Generic Message)

...

DNS : DNS

DNSQR : DNS Question Record

DNSRR : DNS Resource Record

DUID_EN : DUID - Assigned by Vendor Based onEnterprise Number

Dot11 : 802.11

Dot11ATIM : 802.11 ATIM

Dot11AssoReq : 802.11 Association Request

Dot11AssoResp : 802.11 Association Response

...

Dot1Q : 802.1Q

Dot3 : 802.3

EAP : EAP

EAPOL : EAPOL

Ether : EthernetGPRS : GPRSdummy

GRE : GRE

...

IP : IP

IPOption : None

IPOption_Address_Extension : IP Option Address

Extension

...

PPP : PPP Link Layer

PPP_ECP : None

PPP_ECP_Option : PPP ECP Option

PPP_ECP_Option_OUI : PPP ECP Option

...

RIP : RIP header

RIPEntry : RIP entry

RTP : RTP

RadioTap : RadioTap dummy

Radius : Radius

Raw : Raw

RouterAlert : Router Alert

STP : Spanning Tree Protocol

SebekHead : Sebek header

TCP : TCP

TCPerror : TCP in ICMP

TFTP : TFTP opcode

...

MICHA SAJDAKDyrektor ds. Rozwoju w rmie Securi-tum. Prowadzi szkolenia o tematyce zwizanej z bezpieczestwem IT oraz realizuje testy penetracyjne systemw IT. Posiadacz certykatu CISSP.Kontakt z autorem:[email protected]

W Sieci

http://www.secdev.org/projects/scapy/ , http://www.dirk-loss.de/scapy-doc/ , http://trac.secdev.org/scapy/wiki/OSPF , http://freshmeat.net/projects/sendip/ , http://nemesis.sourceforge.net/ , http://netdude.sourceforge.net/ , http://www.hping.org/ , http://www.blackhat.com/presentations/bh-europe-07/

Butti/Presentation/bh-eu-07-Butti.pdf .

8/8/2019 hakin9 07.2010 PL

17/50

Scapy

www.hakin9.org 17

Listing 2. Struktura pakietu w scapy

>>> ls(ICMP)

type : ByteEnumField = (8)

code : MultiEnumField = (0)

chksum : XShortField = (None)

id : ConditionalField = (0)

seq : ConditionalField = (0)

ts_ori : ConditionalField = (50705671)

ts_rx : ConditionalField = (50705671)

ts_tx : ConditionalField = (50705671)

gw : ConditionalField = ('0.0.0.0')

ptr : ConditionalField = (0)

reserved : ConditionalField = (0)

addr_mask : ConditionalField = ('0.0.0.0')

unused : ConditionalField = (0)

Listing 3. Wywietlenie zawartoci pakietu

>>> p.show()

###[ ICMP ]###

type= echo-request

code= 0

chksum= None

id= 0x0

seq= 0x0

Listing 4. Stworzenie pakietu ICMP

>>> p = ICMP(type=0)

>>> ICMP.type.i2s

{0: 'echo-reply', 3: 'dest-unreach', 4: 'source-

quench',

5: 'redirect', 8: 'echo-request', 9: 'router-

advertisement',

10: 'router-solicitation', 11: 'time-exceeded',

12: 'parameter-problem', 13: 'timestamp-request',

14: 'timestamp-reply', 15: 'information-request',

16: 'information-response', 17: 'address-mask-

request',

18: 'address-mask-reply'}

>>> p = ICMP(type='information-request')

Listing 5. czenie pakietw

>>> p1 = IP()/p

>>> p1.show()

###[ IP ]###

version= 4

ihl= None

tos= 0x0

len= None

id= 1

ags=

frag= 0

ttl= 64

proto= icmp

chksum= None

src= 127.0.0.1

dst= 127.0.0.1\options\

###[ ICMP ]###

type= echo-request

code= 0

chksum= None

id= 0x0

seq= 0x0

Listing 6. Wynik metody show2()

>>> i.show2()

###[ IP ]###

version= 4L

...

chksum= 0x7cde

...

\options\

###[ ICMP ]###

...

chksum= 0xf7ff

>>>

Listing 7. Wywietlenie zmiennych i metod dostpnych w danej klasie

>>> dir(p)

['__class__', '__contains__', '__delattr__', '__

delitem__', '__dict__', [...]

'add_payload', 'add_underlayer', 'aliastypes',

'answers', 'build', [...]

'show', 'show2', 'show_indent', 'sprintf',

'summary', 'time', [...]

8/8/2019 hakin9 07.2010 PL

18/507/201018

OBRONA

Listing 8. Wywietlenie pomocy dla wybranej metody

>>>

help(p.show2)

Help on method show2 in module scapy.packet:

show2(self) method of scapy.layers.inet.ICMP instance

Prints a hierarchical view of an assembled version of the packet,

so that automatic elds are calculated (checksums, etc.)

Listing 9. Podstawowa metoda wysania pakietu oraz odebrania odpowiedzi sr1()

>>> r = sr1(p1)

Begin emission:

Finished to send 1 packets..*

Received 2 packets, got 1 answers, remaining 0

packets

>>> r.show()

###[ IP ]###

version= 4L

ihl= 5L

tos= 0x0

len= 28

id= 30733ags=

frag= 0L

ttl= 64

proto= icmp

chksum= 0x8106

src= 192.168.0.1

dst= 192.168.0.124

\options\

###[ ICMP ]###

type= echo-reply

code= 0

chksum= 0xffff

id= 0x0

seq= 0x0

###[ Padding ]###

load= '\x00\x00\x00\x00\x00\x00\x00\x00\x00\

x00\x00\x00\x00\x00\x00\x00\x00\

x00'

Listing 10. Podstawowa metoda wysania pakietu oraz odebrania odpowiedzi - srp1()

>>> i2 = Ether(dst='00:19:5b:dc:b7:ec')/i

>>> i2.show()

###[ Ethernet ]###dst= 00:19:5b:dc:b7:ec

src= 00:0c:29:7f:48:3f

type= 0x800

###[ IP ]###

version= 4

ihl= None

tos= 0x0

len= None

id= 1

ags=

frag= 0ttl= 64

proto= icmp

chksum= None

src= 192.168.0.124

dst= 192.168.0.1

\options\

###[ ICMP ]###

type= echo-request

code= 0

chksum= None

id= 0x0

seq= 0x0

>>> r2 = srp1(i2)

Begin emission:

Finished to send 1 packets.

*

Received 1 packets, got 1 answers, remaining 0

packets

8/8/2019 hakin9 07.2010 PL

19/50

Scapy

www.hakin9.org 19

Listing 11. Wynik polecenia lsc()

arpcachepoison: Poison target's cache with (your MAC,victim's IP) couple

arping : Send ARP who-has requests to determine which hosts are up

defrag : defrag(plist) -> ([not fragmented], [defragmented],

defragment : defrag(plist) -> plist defragmented as much as possible

dyndns_del : Send a DNS delete message to a nameserver for "name"

etherleak : Exploit Etherleak aw

fragment : Fragment a big IP datagram

fuzz : Transform a layer into a fuzzy layer by replacing some

default values by random objects

getmacbyip : Return MAC address corresponding to a given IP address

hexdiff : Show differences between 2 binary strings

ls : List available layers, or infos on a given layer

rdpcap : Read a pcap le and return a packet list

send : Send packets at layer 3

sendp : Send packets at layer 2sendpfast : Send packets at layer 2 using tcpreplay for performance

sniff : Sniff packets

split_layers : Split 2 layers previously bound

sr : Send and receive packets at layer 3

sr1 : Send packets at layer 3 and return only the rst answer

sr ood : Flood and receive packets at layer 3

srloop : Send a packet at layer 3 in loop and print

the answer each time

srp : Send and receive packets at layer 2

srp1 : Send and receive packets at layer 2 and return only

the rst answersrp ood : Flood and receive packets at layer 2

srploop : Send a packet at layer 2 in loop and print the answer

each time

traceroute : Instant TCP traceroute

tshark : Sniff packets and print them calling pkt.show(),

a bit like text wireshark

wireshark : Run wireshark on a list of packets

wrpcap : Write a list of packets to a pcap le

Listing 12. Generowanie grupy pakietw

>>> pi = IP(dst='192.168.0.1')/ICMP(type=(0,18))

>>> answered,uanswered = sr(pi)

Begin emission:

...*.Finished to send 19 packets.

.......^C

Received 12 packets, got 1 answers, remaining 18 packets

>>> answered.show()

0000 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-request 0

==> IP / ICMP 192.168.0.1 > 192.168.0.124 echo-reply 0 / Padding

>>> uanswered.show()

0000 IP / ICMP 192.168.0.124 > 192.168.0.1 dest-unreach network-unreachable

0001 IP / ICMP 192.168.0.124 > 192.168.0.1 source-quench 0

0002 IP / ICMP 192.168.0.124 > 192.168.0.1 redirect network-redirect

0003 IP / ICMP 192.168.0.124 > 192.168.0.1 time-exceeded ttl-zero-during-transit

0004 IP / ICMP 192.168.0.124 > 192.168.0.1 parameter-problem ip-header-bad

0005 IP / ICMP 192.168.0.124 > 192.168.0.1 1 0

8/8/2019 hakin9 07.2010 PL

20/507/201020

OBRONA

0006 IP / ICMP 192.168.0.124 > 192.168.0.1 2 0

0007 IP / ICMP 192.168.0.124 > 192.168.0.1 6 0

0008 IP / ICMP 192.168.0.124 > 192.168.0.1 7 0

0009 IP / ICMP 192.168.0.124 > 192.168.0.1 router-advertisement 0

0010 IP / ICMP 192.168.0.124 > 192.168.0.1 router-solicitation 0

0011 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-reply 0

0012 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-request 0

0013 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-reply 0

0014 IP / ICMP 192.168.0.124 > 192.168.0.1 information-request 0

0015 IP / ICMP 192.168.0.124 > 192.168.0.1 information-response 0

0016 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-request 0

0017 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-reply 0

Listing 13. Proste skanowanie portw

>>> packets = IP(dst='192.168.0.1')/TCP( ags='S',dport=[22,23,80,515])

>>> a,ua=sr(packets)Begin emission:

**..Finished to send 4 packets.

*.*


>>> a.show()

0000 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:ssh S

==> IP / TCP 192.168.0.1:ssh > 192.168.0.124:ftp_data RA / Padding

0001 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:telnet S

==> IP / TCP 192.168.0.1:telnet > 192.168.0.124:ftp_data RA / Padding

0002 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:www S

==> IP / TCP 192.168.0.1:www > 192.168.0.124:ftp_data SA / Padding0003 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:printer S

==> IP / TCP 192.168.0.1:printer > 192.168.0.124:ftp_data SA / Padding

>>> for req,resp in a:

... print "port = "+str(req.dport)

... resp.sprintf('%TCP. ags%')

...

port = 22

'RA'

port = 23

'RA'

port = 80

'SA'

port = 515

'SA'

Listing 14. Podsuchiwanie ruchu oraz modykacja komunikacji sieciowej

>>> res = sniff()

^C>>> res.show()

0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw

0001 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A

0002 Ether / ARP who has 192.168.0.1 says 192.168.0.124

0003 Ether / ARP is at 00:19:5b:dc:b7:ec says 192.168.0.1 / Padding

0004 Ether / IP / UDP / DNS Qry "www.onet.pl."

0005 Ether / IP / UDP / DNS Ans "213.180.146.27"

0006 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw

8/8/2019 hakin9 07.2010 PL

21/50

Scapy

www.hakin9.org 21

0007 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw

0008 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."

0009 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."









>>> i = res[6]

>>> i.show()

###[ Ethernet ]###

dst= 00:19:5b:dc:b7:ec

src= 00:0c:29:7f:48:3f

type= 0x800###[ IP ]###

version= 4L

ihl= 5L

tos= 0x0

len= 84

id= 0

ags= DF

frag= 0L

ttl= 64

proto= icmp

chksum= 0x11b5src= 192.168.0.124

dst= 213.180.146.27

\options\

###[ ICMP ]###

type= echo-request

code= 0

chksum= 0x1dbc

id= 0xa30d

seq= 0x1

###[ Raw ]###

load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\

x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'

>>> i[IP].dst='87.98.189.148'

>>> i[IP].chksum=None

>>> r = srp1(i)

Begin emission:

Finished to send 1 packets.

.*


>>> r.show()

###[ Ethernet ]###

dst= 00:0c:29:7f:48:3f

src= 00:19:5b:dc:b7:ec

type= 0x800

###[ IP ]###

version= 4L

8/8/2019 hakin9 07.2010 PL

22/507/201022

OBRONA

ihl= 5L

tos= 0x0

len= 84

id= 40889

ags=

frag= 0L

ttl= 0

proto= icmp

chksum= 0x44d5

src= 87.98.189.148

dst= 192.168.0.124

\options\

###[ ICMP ]###

type= echo-reply

code= 0

chksum= 0x25bcid= 0xa30d

seq= 0x1

###[ Raw ]###

load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\

x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'

Listing 15. Odczytanie ruchu z pliki w formacie libpcap

securitum-t1:~# tcpdump -n -s 0 -i eth0 -U -w out.pcap

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C20 packets captured

21 packets received by lter

securitum-t1:~# scapy

Welcome to Scapy (2.1.0)

>>> packets = rdpcap('out.pcap')

>>> packets.show()



0002 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A / Padding

0003 Ether / IP / UDP / DNS Qry "www.onet.pl."

0004 Ether / IP / UDP / DNS Ans "213.180.146.27"





0009 Ether / ARP who has 192.168.0.124 says 192.168.0.107 / Padding

0010 Ether / ARP is at 00:0c:29:7f:48:3f says 192.168.0.124









0019 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh PA / Raw

8/8/2019 hakin9 07.2010 PL

23/50

Scapy

www.hakin9.org 23

Listing 16. Wykorzystanie funkcji wrpcap()

>>> pkt = Ether()/IP(dst='192.168.0.1')/ICMP()/("X"*100)

>>> wrpcap('to_fragment.pcap', pkt)

securitum-t2:~# tcprewrite --in le=to_fragment.pcap

--out le=fragmented.pcap --fragroute=/usr/local/etc/fragroute.conf

192.168.0.104 > 192.168.0.1: icmp: type 8 code 0 (frag 1:24@0+)

192.168.0.104 > 192.168.0.1: (frag 1:24@24+)

192.168.0.104 > 192.168.0.1: (frag 1:24@48+) [delay 0.001 ms]

192.168.0.104 > 192.168.0.1: (frag 1:12@96) [delay 0.001 ms]

192.168.0.104 > 192.168.0.1: (frag 1:24@72+) [delay 0.001 ms]

192.168.0.104 > 192.168.0.1: (frag 1:24@72+)

192.168.0.104 > 192.168.0.1: icmp: type 65 code 71 (frag 1:24@0+) [delay 0.001 ms]

192.168.0.104 > 192.168.0.1: (frag 1:12@96)

192.168.0.104 > 192.168.0.1: (frag 1:24@24+) [delay 0.001 ms]

192.168.0.104 > 192.168.0.1: (frag 1:24@48+)securitum-t2:~# scapy

>>> f = rdpcap('fragmented.pcap')

>>> f.show()


0001 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw





0006 Ether / IP / ICMP 192.168.0.104 > 192.168.0.1 65 71 / Raw

0007 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:12 / Raw0008 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw


Listing 17. Podstawowa metoda fuzzingu protokou sieciowego

>>> p = IP(dst='192.168.0.1')/ICMP()

>>> p = fuzz(p)

>>> p.show()

###[ IP ]###

version=

ihl= None

tos= 31

len= None

id=

ags=

frag= 0

ttl=

proto= icmp

chksum= None

src= 192.168.0.124

dst= 192.168.0.1

\options\

###[ ICMP ]###

type=

code= 207

chksum= None

unused=

8/8/2019 hakin9 07.2010 PL

24/507/201024

OBRONA

>>> send(p,loop=1)

................................................................................................................

Listing 18. Fuzzing protokou sieciowego widziany w tcpdump()

securitum-t1:~# tcpdump -v -n -i eth0 icmp

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

18:37:00.152656 IP7 (tos 0x8b,CE, ttl 63, id 19269, offset 0, ags [+, rsvd], proto ICMP (1), length 28)

192.168.0.124 > 192.168.0.1: ICMP type-#170, length 8

IP5 [|ip]

18:37:00.156424 IP14 (tos 0x99,ECT(1), ttl 128, id 46969, offset 0, ags [+, DF, rsvd], proto ICMP (1), length

28) 192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8

IP5 [|ip]

18:37:00.159799 IP9 (tos 0x7a,ECT(0), ttl 114, id 53503, offset 0, ags [DF], proto ICMP (1), length 28)

192.168.0.124 > 192.168.0.1: ICMP type-#105, length 8

IP5 [|ip]

18:37:00.163474 IP14 (tos 0x18, ttl 163, id 24203, offset 0, ags [+, rsvd], proto ICMP (1), length 28)192.168.0.124 > 192.168.0.1: ICMP type-#61, length 8

IP5 [|ip]

18:37:00.167175 IP5 (tos 0x1,ECT(1), ttl 13, id 59219, offset 0, ags [none], proto ICMP (1), length 28)

192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8

IP5 [|ip]

...

Listing 19. Ustawienie pola w pakiecie funkcj zwracajcwarto losow

>>> i = IP()/ICMP()

>>> i[IP].version = RandShort()

>>> i.show()

###[ IP ]###

version=

ihl= None

tos= 0x0

len= None

id= 1

ags=

frag= 0

ttl= 64

proto= icmp

chksum= None

src= 127.0.0.1

dst= 127.0.0.1

\options\

###[ ICMP ]###

type= echo-request

code= 0

chksum= None

id= 0x0

seq= 0x0

Listing 20. Prosty skaner portw napisany w pythonie, z wykorzystaniem scapy. scapy-scanner.py (uruchomienie:

python scapy-scanner.py)

from scapy.all import *

# zakres portow do skanowania

ports = (1,1024)

# cel skanowania

dst_ip = '192.168.0.1'

# de nicja pakietow

syn_packets = IP(dst=dst_ip)/TCP( ags='S',dport=po

rts)

# wyslanie pakietow oraz odebranie odpowiedzi

answered, uanaswered = sr(syn_packets, verbose=0)

# analiza odpowiedzi

for request, response in answered:

response_ ags = response.sprintf('%TCP. ag

s%')

if response_ ags == 'SA':

print "Port TCP: " +

str(request.dport) + " otwarty"

8/8/2019 hakin9 07.2010 PL

25/50

Archiwizacja danych

www.hakin9.org 25

Archiwizacja ( backupy ) danych dla wikszo-

ci uytkownikw komputerw osobistych jestczsto zagadnieniem pozostajcym na margi-nesie. Najczciej przypominamy sobie o znaczeniuzabezpieczenia danych, gdy je utracimy. Celem tegoartykuu jest prba przeamania barier oraz zachce-nie do wykonywania archiwizacji najwaniejszych da-nych. Moe nadszed ju czas, aby zakupi dysk ze-wntrzny i przeznaczy go do tego celu.

StatystykiSerwis dotyczcy archiwizacji http://www.kabooza.com podaje wyniki ankiety wrd uytkownikw kompute-rw osobistych w zakresie archiwizacji.

Na pytanie jak czsto archiwizuj oni dane na kom-puterach wikszo (54%) odpowiada, e nigdy. Spo-rd archiwizujcych dane 18% robi to codziennie. A13% osb nie wie co to jest backup.

Uytkownicy za najwiksze zagroenie dla kompute-ra wskazuj wirusy komputerowe (54%). Kolejne oba-wy dotycz moliwoci uszkodzenia dysku twardego(31%), kradziey (5%) oraz uszkodzenia danych spo-wodowanych upadkiem nonika danych (11%).

Najbardziej uytkownicy obawiaj si utraty wa-snych zdj (71%), wasnych dokumentw (16%) orazwasnej muzyki (4%).

Wikszo (66%) osb utracio wane zdjcia lubdokumenty, z czego dua cz (42%) utracia jew cigu ostatniego roku.

Rodzaje backupwMamy do wyboru rne rodzaje backupw i trybw ichuruchamiania. Wybr zaley midzy innymi od ilociwolnego miejsca na dysku, czasu jaki moemy prze-znaczy na archiwizowanie oraz wymaganej szybko-ci do odzyskania danych. W Tabeli 1. wymienione zo-stay rodzaje backupw, a w Tabeli 2. przedstawiones rnice pomidzy nimi.

KompromisPrzy podejmowaniu decyzji o organizacji procesu ar-chiwizacji warto wzi pod uwag kilka czynnikw. Na-ley wic:

oceni, ktre dane s krytyczne i wymagaj ar-chiwizacji (archiwizowanie wszystkiego moe byzbyt kosztowne),

okreli ich rozmiar, okreli czstotliwo zmian w tych danych, sprawdzi posiadane rodzaje nonikw do archi-

wizacji (serwer sieciowy, dysk, CD-ROM. DVD-ROM, pami tamowa),

oszacowa rozmiar wolnej przestrzeni na noni-kach przeznaczonych do organizacji backupw,

okreli akceptowany czas na tworzenie archi-wum,

okreli akceptowalny czas oczekiwania na odtwo-rzenie pliku z archiwum,

zachowa zdrowy rozsdek.

Archiwizacja danych

Niewielu uytkownikw komputerw przywizujenaleyt wag do archiwizacji plikw. Czsto gin imbezpowrotnie bezcenne dokumenty lub zdjcia,a niewiele trzeba, by temu zapobiec.

Aleksander Tadeusz wikliski

Dowiesz si: o znaczeniu archiwizacji danych, o rodzajach archiwizacji, jak zorganizowa proces archiwizacji, ktre narzdzia pomog w zabezpieczeniu danych, jak uy dostpnych narzdzi do zabezpieczenia danych.

Powiniene wiedzie: znajomo obsugi komputera na poziomie uytkownika.

8/8/2019 hakin9 07.2010 PL

26/507/201026

OCHRONA DANYCH

kw z archiwum. Opnione dziaanie moe spowodo-wa utrat korelacji danych pomidzy systemami. Je-eli systemy zapisuj dane na tym samym wolumenieto korzystne moe okaza si oparcie backupw o ca-y wolumen ni o pojedyncze pliki.

Zoonym moe okaza si wykonywanie backupwbaz danych, dla ktrych naley zachowa cigodziaania, bo nie mona ich zamkn, w celach archi-wizacji. Pomocne s tutaj serwery baz danych dostar-czajce mechanizmy ledzenia transakcji wykonanychod momentu wykonania ostatniego backupu.

NarzdziaDostpnych jest wiele narzdzi do wykonywania bac-kupw komercyjnych i darmowych.

W Tabeli 3. podano wykaz niektrych darmowych

rozwiza dostpnych dla gwnych trzech systemw

Nie zawsze takie atweW domowych zastosowaniach zdefiniowanie codzien-nych backupw wydaje si wystarczajce. W przy-padku jednak, gdy mwimy o dziaalnoci gospodar-czej i klientach utrata danych moe nas sporo kosz-towa.

Czsto wystpuje potrzeba budowania rozwizaumoliwiajcych odtworzenie danych z dowolnej chwi-li (godzina, minuta, sekunda). Aby to byo moliwe ko-nieczne jest posiadanie rozwizania zapewniajcegoarchiwizowanie danych w sposb cigy. Wymaganiezapewnienia cigoci operacji moe nakada na nastake konieczno niezwocznego odzyskania danychz archiww.

W przypadku wspdziaania wielu systemw infor-matycznych krytyczne staje si jak najszybsze wykry-

cie sytuacji, gdy bdzie konieczne odtworzenie pli-

Tabela 1. Rodzaje archiww

Nazwa OpisPeny (full) Polega na archiwizacji wszystkich plikw niezalenie od wczeniej robionych archiwizacji. Po utwo-

rzeniu takiego archiwum istnieje pniej moliwo odtworzenia wszystkich plikw bezporednio ztego archiwum.

Rnicowy (di erential) Jest uzupenieniem penej archiwizacji. Zapisuje zmiany w plikach, ktre powstay od momentu wy-konania ostatniej penej archiwizacji. Do odtworzenia pliku wystarczy pene archiwum i jedno z ar-chiww rnicowych w zalenoci od daty, z ktrej chcemy odzyska dane.

Przyrostowy (incremental) Jest uzupenieniem penej archiwizacji. Zapisuje zmiany w plikach, ktre powstay od momentu wy-konania ostatniej przyrostowej archiwizacji. Do odtworzenia pliku potrzebne jest odwoanie do pe-nego archiwum oraz tylu archiww przyrostowych ile zostao utworzonych od daty, z ktrej chcemyodzyska dane.

Tabela 2. Rnice midzy rodzajami archiww

Nazwa Czas potrzebnyna archiwizacj

Czas potrzebnyna odtworzenie archiwum

Rozmiar na dysku

Peny * *** *

Rnicowy ** ** **

Przyrostowy *** * ***

* - najmniej korzystny*** - najbardziej korzystny

Tabela 3. Darmowe narzdzia do archiwizacji danych

Nazwa Link OpisAmanda http://www.amanda.org/ Zaawansowany sieciowy archiwizator pozwalajcy na zdaln administracj.

Uywa natywnych narzdzi jak GNUtar czy dump do tworzenia backupw.

Areca backup http://www.areca-backup.org/ Suy do wykonywania archiww danych na potrzeby osobiste. Utworzonezbiory mona czyta popularnymi programami do kompresji.

backupPC http://backuppc.sourceforge.net/ Moe suy do archiwizacji danych przedsibiorstwa.Bacula http://www.bacula.org Umoliwia zarzdzanie procesem archiwizacji na poziomie przedsibior-

stwa dla rnych rodzajw komputerw poczonych w sie.DirSyncPro http://directorysync.sourceforge.net/ Proste narzdzie do synchronizacji folderw. Mona uruchamia polecenia

take z pominiciem interfejsu gra cznego.

DAR http://dar.linux.free.fr/ Uruchamiany jest z linii komend. Od wersji 2 moliwe jest podczenie inter-fejsu gra cznego poprzez API.

8/8/2019 hakin9 07.2010 PL

27/50

Archiwizacja danych

www.hakin9.org 27

operacyjnych komputerw osobistych: Windows, Li-nux oraz Macintosh.

Backup and RestoreUmoliwia archiwizacj danych w Windows 7 (dostp-ne opcje zale od wersji). Przykadowy proces defi-niowania i uruchamiania archiwizacji wyglda nast-pujco.

Krok 1. Przej do panelu sterowania Control Panel.Krok 2. W zalenoci od ustawionego trybu wywietla-nia w panelu sterowania wybiera Back up your compu-ter w grupie System and Security lub Backup and Re-store.Krok 3. Otworzy si okno umoliwiajce rozpoczciedefiniowania procesu archiwizacji.

Krok 4. W kolejnych krokach okreli parametry archi-wizacji.

Krok 5. Po zapisaniu ustawie rozpocz archiwizacj.Krok 6. Mona take ledzi zaawansowanie procesu.

Po utworzeniu archiwum moliwe bdzie w przyszo-ci odzyskanie caego zbioru plikw lub wybranychplikw po naciniciu przycisku Restore my fles naekranie Backup or restore your fles . W przypadkukon iktu zostaniemy zapytani o decyzj i do wyborupozostanie zapisanie obecnego pliku wersj z archi-wum, rezygnacja z wykonania operacji lub utworzeniedrugiej wersji pliku.

rsyncW przypadku, gdy serwer zasobw dyskowych zbudo-wany jest na systemie Linux, na przykad na serwerzeSamby, do zabezpieczania danych bardzo przydat-

nym moe si okaza polecenie rsync. Pomoe onaprzykad w utworzeniu penego odzwierciedlenia da-

Rysunek 1. Ekran denicji archiwizacji

Rysunek 2. Parametry archiwizacji Rysunek 3. Parametry archiwizacji

8/8/2019 hakin9 07.2010 PL

28/507/201028

OCHRONA DANYCH

nych wraz z informacjami o uprawnieniach uytkowni-kw i atrybutach plikw. Wystarczy sprawdzi skadnitego polecenia w manualu systemowym i mona przy-stpi do synchronizowania zbiorw danych. Polece-nie to umoliwia take synchronizacj pomidzy ser-werami sieciowymi.

Poniej opisano przykadow sekwencj operacji.Krok 1. Podczy dysk zewntrzny.Krok 2. Zamontowa dysk zewntrzny:mount t reiserfs /dev/sda1 /mnt/f

Krok 3.Rozpocz synchronizacj katalogw (tutaj ar-chiwizacja dotyczy katalogu /home ):rsync a v delete /home/ /mnt/f

xcopyPolecenie xcopy znane z systemu Windows posiada

bardzo wiele opcji i umoliwia wykonywanie rnychrodzajw backupw.

Archiwizacja pena:xcopy c:\home\*.* d:\backup\*.* /s

Archiwizacja przyrostowa:xcopy c:\home\*.* d:\backup\*.* /s /m

Archiwizacja rnicowaxcopy c:\home\*.* d:\backup\*.* /s /a

PodsumowanieDo wsparcia archiwizacji danych suy wiele narz-dzi. Zalecabym spord nich wybra odpowiedniedla siebie i zacz je stosowa. Warto na to powi-ci czas. Unikniemy powanych kopotw i staniemysi faktycznymi wacicielami naszych danych. B-dziemy rwnie mogli suy rad mniej dowiadczo-

nym.

Rysunek 4. Parametry archiwizacji



Rysunek 7. Rozpoczcie archiwizacji.

8/8/2019 hakin9 07.2010 PL

29/50

Archiwizacja danych

www.hakin9.org 29

ALEKSANDER TADEUSZ WIKLISKIhttp://www.linkedin.com/in/alexcwiklinski . Ukoczy studia informatyczne na Wydziale Elektroniki Politechniki Warszaw- skiej. Ponadto zdoby dyplom Canadian MBA w Szkole Gwnej Handlowej w kooperacji z Universit du Qubec Montral.Uzyska midzy innymi certykat PMP z zakresu zarzdzania projektami oraz certykat ITIL Foundation z zakresu zarzdza-nia usugami.Posiada dowiadczenie w rozwijaniu systemw informatycznych oraz kontroli jakoci w obszarach obsugi klienta, rozlicze bi-lingowych, bankowoci, podatkw oraz nansw. Zajmowa si rwnie zarzdzaniem projektami i wydaniami w ramach ze- spow midzynarodowych.Od kilkunastu lat pracuje w rmie telekomunikacyjnej na stanowisku menederskim. Do jego gwnych obowizkw naley

kontrola jakoci systemw informatycznych oraz wsparcie procesu wdroe. Wczeniej zaangaowany by bezporednio w roz-wj tych systemw.Interesuje si wsparciem informatycznym podejmowania decyzji w zarzdzaniu rm. Ponadto ledzi zagadnienia zwizane z marketingiem, a ostatnio w szczeglnoci marketingiem przychodzcym (inbound marketing) oraz zastosowaniami portali spoecznociowych.W pracy zawodowej, realizujc zadania, stara si znajdowa balans pomidzy oczekiwaniami rmy, a wymaganiami ze- spow oraz indywidualnymi potrzebami pracownikw. Zwraca przy tym uwag na znaczenie komunikacji dla sukcesu tych przedsiwzi.Poszukuje rozwiza, ktre zwiksz ilo wolnego czasu. Odzyskany czas chciaby powici na znajdowanie nowych pomy- sw, ich dopracowywanie oraz wypoczynek.W drodze do pracy sucha ksiek audio lub podcastw z zakresu zarzdzania, marketingu, psychologii lub ekonomii.Wolny czas spdza z rodzin, majsterkuje lub pracuje w ogrodzie.Kibicuje zespoowi Renault w Formule 1, w szczeglnoci naszemu kierowcy Robertowi Kubicy.Kontakt z autorem: [email protected]

Rysunek 8. ledzenie procesu

Reklama
http://www.tts.com.pl/http://www.tts.com.pl/http://www.tts.com.pl/

8/8/2019 hakin9 07.2010 PL

30/507/201030

PRAKTYKA

Wedug danych gromadzonych globalnie przezwiatowych pionierw w dziedzinie informaty-ki ledczej, 43 procent firm na wiecie padoofiar naduy zwizanych z uyciem informacji elek-tronicznej. Ponad poowa z nich poniosa przy tym nie-odwracalne straty finansowe. rednia wysoko nad-uy w zakresie przestpczoci elektronicznej na wie-cie to a 1,74 mln $ na firm, przy czym co trzecie z te-go typu przestpstw popeni pracownik firmy, ktraucierpiaa na nielegalnych praktykach. Co sprawia, etak atwo firmy i osoby prywatne trac kluczowe dane?

Wedug informatykw ledczych kluczow rol od-grywa tutaj kwestia niewiadomego pozostawianiaprzez nas informacji o samych sobie, dziki otaczaj-cym nas z kadej strony technologiom i urzdzeniomgromadzcym wszelkiego rodzaju informacje. Monapodzieli je na trzy grupy. Do pierwszej z nich zaliczymona wszelkie rejestry komputerw i innych maszyn,ktre magazynuj dane dotyczce czasu pracy, otwie-ranych programw, odwiedzanych stron internetowychczy te wysanych wiadomoci mailowych. Do drugiejgrupy zaliczy moemy informacje z rnego rodza-

ju monitoringw, aparatw cyfrowych czy te kamer.Ostatni, trzeci grup s informacje, ktre uytkow-nicy pozostawiaj samodzielnie i wiadomie, np. na

portalach spoecznociowych, forach, blogach czy tew komentarzach sieciowych.

Informatycy ledczy w Polsce i na wiecieW cigu ostatnich kilkunastu lat dyski twarde (i innenoniki, takie jak pendrivey czy telefony komrkowe),stay si pierwszoplanowymi bohaterami spraw, ktreprzez tygodnie nie schodziy z pierwszych stron ga-zet. Dotyczyy one zarwno najwaniejszych politykww Pastwie, jak i osb zwizanych ze rodowiskamibiznesowymi. Wrd pierwszych, jedn z najbardziejspektakularnych okazaa si sprawa dysku AleksandryJakubowskiej, ktra wysza na wiato dzienne w kon-tekcie afery Rywina. Jednym z kluczowych dla ledz-twa dziaa byo wtedy odzyskanie wiadomoci pocz-towej ze sformatowanego dysku Minister Jakubow-skiej, na ktrym znajdoway si dowody pozwalajceprokuraturze na ustalenie przebiegu wydarze w jed-nym z wtkw afery korupcyjnej. Pozostae przypadki,

jakie utkwiy w pamici opinii publicznej dotyczyy m.in.utopionego komputera posa Wassermanna czy syn-nego gwodzia posa Ziobry. Na wiecie byy to naj-wiksze akcje przeprowadzane m.in. dla FBI i innychsub panstwowych. Szczegowe ich opisy znajduj si m.in. poniej, wrd najciekawszych casew.

Elektroniczni detektywi w akcji

Wiedza i umiejtnoci informatykw ledczych, take z Polski,pomogy ju rozwiza tysice spraw sdowych na caym wiecie,w tym tych najpowaniejszych, zwizanych midzy innymi z gonymiprzestpstwami gospodarczymi, pedofili bd kradzie poufnychdanych. Wci jednak dziaania prowadzone w ramach informatykiledczej s niemale obce nie tylko firmom traccym przychody przez

oszustw komputerowych, ale nawet samej brany IT.

Piotr Dembiski, Pawe Odor

Dowiesz si: jak wyglda proces informatyki ledczej prowadzony w profe-

sjonalnym laboratorium jakie najciekawsze przypadki informatyki ledczej zdarzyy si

dotd w Polsce i na wiecie jakie straty mog ponie rmy nie korzystajce z usug infor-

matykw ledczych

Powiniene wiedzie: e dziaania informatykw ledczych pozwalaj uchroni rmy

przed bardzo powanymi konsekwencjami nansowymi i wi-zerunkowymi, sigajcymi nawet kilku milionw dolarw

e informatycy ledczy s w stanie perfekcyjnie odtworzy kolej-no zdarze, dziaajc na podstawie informacji niedostpnychdla uytkownikw i administratorw poszczeglnych systemw

e wikszo polskich i wiatowych rm wci lekceway za-

bezpieczanie swych zasobw cyfrowych.###

8/8/2019 hakin9 07.2010 PL

31/50

Informatyka ledcza

www.hakin9.org 31

kopii bezpieczestwa. W zalenoci od typu postpo-wania zabezpiecza si take dane z urzdze prze-nonych PDA, telefonw i wszelkich pamici przeno-nych. Po przygotowaniu dwch kopii zapasowychotrzymanego nonika specjalici zabezpieczaj jed-n z nich w sposb identyczny do tego w jaki zabez-pieczony zosta oryginalny nonik. Wszelkie prace s prowadzone na drugiej kopii. Kada operacja podjtaprzez specjalistw musi by szczegowo udokumen-towana, a kade udostpnienie nonika lub informacjimusi by zarejestrowane.

Suma kontrolnaNa potrzeby postpowania dowodowego wykonuje sikopie binarne zabezpieczone wyliczeniem sumy kon-trolnej. W procesie informatyki ledczej kady z noni-kw musi zosta zabezpieczony w sposb odpowiednido jego indywidualnych waciwoci, np. w przypadkudyskw twardych odbywa si to za pomoc wygenero-wanej podczas kopiowania sumy kontrolnej. Mona na

jej podstawie okreli czy opisywana przez ni struk-tura bya modyfikowana. Jeeli zgadza si z pierwotn wartoci, oznacza to, e mamy do czynienia z orygi-naln wersj cyfrowego zapisu. W czasie tego proce-su stosuje si specjalne urzdzenia uniemoliwiajce

jakikolwiek zapis na oryginalny nonik.Niezalenie jednak od sposobu zbierania informacji,

zasady zabezpieczania dowodw wymagaj ochro-ny oryginalnego nonika oraz wykonania penej kopiidanych bez adnej ingerencji w orygina. Dodatkowokonieczne jest zastosowanie metod gwarantujcychidentyczno i autentyczno danych (np. przez wyko-nanie wspomnianej wczeniej sumy kontrolnej). Jaki-kolwiek bd na tym etapie pracy moe skutkowa nietylko utrat krytycznych danych, ale rwnie odrzuce-niem rodkw dowodowych przez sd.

W szczeglnych przypadkach, kiedy dane zosta- j zabezpieczane w wielu lokalizacjach specjali-ci informatyki ledczej zwracaj szczegln uwagna synchronizacj czasow. W ten sposb udaje siunikn manipulowania danymi mogcymi posuy

jako dowd w prowadzonym dochodzeniu.

Odtwarzanie i odzyskiwanie danychDane pobrane z nonikw zawieraj najczciejogromn ilo informacji, z ktrych cz z punktu wi-dzenia prowadzonego dochodzenia jest nieprzydat-na. Wyowienie interesujcych danych jest w zwizkuz tym niestety wyjtkowo zoone i pracochonne.

Spord wszystkich danych znajdujcych na noni-ku specjalici wyodrbniaj wiec te, ktre maj zna-czenie dla prowadzonej sprawy. Konsultacja z klien-tem (zdefiniowana hipoteza badawcza), ktr kie-ruj si eksperci podczas bada ma kluczowe zna-czenie dla sukcesu sprawy i wycignicia odpowied-

Czym jest informatyka ledcza?Informatyka ledcza (ang.Computer Forensics ), to do-starczanie elektronicznych rodkw dowodowych czy-li zesp dziaa i czynnoci, ktre polegaj na zabez-pieczeniu, przeszukiwaniu i wykrywaniu dowodw nad-uy i przestpstw dokonanych z uyciem komputeralub innych urzdze elektronicznych. Poprzez Compu-ter Forensics moemy wic odtworzy kolejno zda-rze uytkownika urzdzenia elektronicznego w cza-sie (i odpowiedzie na pytania: kto? co? gdzie? kiedy?

jak?), dziaajc na podstawie informacji niedostpnychdla uytkownikw i administratorw systemu.

Obecnie najpopularniejszymi nonikami dowodwelektronicznych trafiajcymi do najwikszych labora-toriw odzyskiwania danych i informatyki ledczej s:dyski twarde komputerw osobistych (61,5 procent),serwery (20 procent - w tym serwery pocztowe 7 pro-cent oraz pozostae serwery - np. zapisujce danez kamer monitorujcych ulice 13 procent), notatnikielektroniczne (3 procent), pamici przenone (11 pro-cent) oraz telefony (2,5 procent). Wikszo serwerwtrafia do ekspertyzy wraz z kopiami bezpieczestwa.

Proces informatyki ledczejProces informatyki ledczej to zbir nastpujcych posobie czynnoci, ktrych wykonanie gwarantuje do-starczenie organom cigania, a take osobom prowa-

dzcym dochodzenie danych o penej wartoci dowo-dowej. Na proces skadaj si: gromadzenie informa-cji, odtwarzanie i odzyskiwanie danych oraz ich anali-za. Wynikiem dziaania jest raport ekspertw. Rozpo-czcie procesu computer forensics poprzedzone jestdokadnym zapoznaniem si specjalistw ze spraw.Klient musi przekaza ekspertom moliwie duo in-formacji o prowadzonym postpowaniu tak aby mo-liwe byo podjcie decyzji jakie noniki mog zawieraistotne informacje.

Gromadzenie informacjiPodstawow zasad na etapie gromadzenia informa-cji jest zabezpieczenie oryginalnych nonikw jak ty-powych dowodw. Nastpnie wykonuje si co naj-mniej dwie binarne kopie danych. Kopie powstaj bez uruchomienia systemu operacyjnego urzdze-nia, na ktrym mog znajdowa si potencjalne do-wody. W niektrych sytuacjach jest to jednak niemo-liwe, procedura zabezpieczenia musi by zatem do-kadnie udokumentowana. Wynika to z faktu, i w mo-mencie uruchomienia systemu operacyjnego orygi-nalnego urzdzenia zmienia si dotychczasowa za-warto danych znajdujcych si na noniku (dysku,pamici itp.).

Zabezpieczanie danych, jako dowodw dotyczy za-rwno komputerw osobistych, przenonych jak i ser-werw plikw (poczty), baz danych oraz wszystkich

8/8/2019 hakin9 07.2010 PL

32/507/201032

PRAKTYKA

nich wnioskw. Sytuacj moe jednak skomplikowafakt, e nonik zawiera du ilo danych niewidocz-nych dla uytkownika, a dostpnych dopiero w proce-sie odtwarzania danych (np. skasowanych, ukrytychlub zaszyfrowanych). Dzieje si tak czsto w momen-cie, gdy oprcz celowo skasowanych danych nastpi-o uszkodzenie logiczne bd fizyczne nonika. W ta-kiej sytuacji nim informatycy ledczy przejd do ana-lizy danych znajdujcych si na noniku, musz naj-pierw odzyska utracone wczeniej informacje. Spe-cjalici w procesie odtwarzania danych docieraj rw-nie do tzw. przestrzeni typu slack space (dotyczy tonajszerzej rozpowszechnionych systemw plikw ty-pu FAT i NTFS) sektorw i klastrw resztkowych,ktre mog by nieocenionym zbiorem informacji dlaprowadzcych ledztwa czy dochodzenia, szczegl-nie w przypadkach, w ktrych nastpio nadpisaniedanych dowodowych czyli zapisanie na nie nowychinformacji.

Oczywicie naley pamita, e wykorzystywanemechanizmy, ktre pozwalaj sprawdzi histori dzia-a uytkownika, zale od uywanego przez niegooprogramowania i systemu operacyjnego.

Szczeglnym przypadkiem odtwarzania danych mo-e by odzyskiwanie danych z fizycznie uszkodzone-go nonika. rednia wiatowa skuteczno odzyski-wania danych w profesjonalnym laboratorium wyno-

si 76 procent. Skadaj si na ni rwnie najciszeprzypadki, w ktrych noniki zostay celowo zniszczo-ne fizycznie, spalone czy zalane wod. W wikszocitego typu przypadkw dane udaje si odzyska niemalw 100 procentach.

AnalizaKolejnym krokiem po odtworzeniu danych w proce-sie Computer Forensics jest ich analiza. Zostaje onaprzeprowadzona wg kryteriw, ktre ustalane s przezelektronicznych detektyww w porozumieniu ze zlece-niodawc. Typowe poszukiwanie danych polega nadostosowaniu wszystkich zebranych danych do for-matu pozwalajcego uytkownikowi na atwy dostpdo informacji (odszyfrowanie, pominicie nietypowychaplikacji, ujednolicenie formatu). Praca specjalisty naetapie analizy danych polega na odpowiedzi na klu-czowe pytania (kto?, co? i kiedy?) oraz na odtworze-niu kolejnoci krytycznych zdarze.

Najczstsze rodzaje danych analizowanychw procesie informatyki ledczejDostarczajc dowodw przestpczoci elektronicz-nej specjalici informatyki ledczej najczciej operu-

j na: danych pocztowych (najczstsza kategoria da-nych, ktre stanowi materiay dowodowe w procesieinformatyki ledczej; w ich przypadku zabezpieczeniedowodw polega prcz zabezpieczenia plikw poczto-wych na konkretnym komputerze, rwnie zabezpie-czeniu dostpu do serwerw poczty elektronicznej),danych biecych (np. dokumenty pakietu Office), da-nych odtworzonych i odzyskanych (skasowanych lubuszkodzonych wczeniej przez uytkownika), danych

zaszyfrowanych przez waciciela i udostpnionych pozamaniu zabezpiecze oraz danych zawartych w lo-gach systemowych i metadanych.

Na tym etapie prac przydatne s narzdzia uatwia- jce konwersj danych. Aplikacje takie pozwalaj mi-

dzy innymi na bardzo wygod-ne wyszukiwanie informacji,zaznaczanie i komentowanieodnalezionych danych orazprzygotowywanie szczego-wych raportw z przeprowa-dzonych prac.

Elementy procesuanalizy danychProces analizy danych jeststosunkowo zoony i obej-muje najczciej pi sta-diw. Pierwsze z nich po-lega na odtwarzaniu istot-nych zdarze z uwzgldnie-niem ich chronologii (wizytyna stronach internetowych,komunikacja poczt elektro-niczn, zmiany dokumentw,kasowanie danych, szczeg-y penetracji systemu itp.).W drugim stadium poszu-Rysunek 1. Spalony aparat z ktrego odzyskano zdjcia w laboratorium Kroll Ontrack

8/8/2019 hakin9 07.2010 PL

33/50

Informatyka ledcza

www.hakin9.org 33

kiwane s dokumenty zawierajce sowa kluczowezwizane ze spraw, wskazywane najczciej przezorgana ledcze. Trzecie stadium natomiast obejmu-

je poszukiwanie kopii istotnych dokumentw oraz ichwczeniejszych wersji. Ostatnie dwie czci procesudotycz sprawdzanie istnienia na noniku i zaistnieniaoperacji z wykorzystaniem programw kasujcych da-ne oraz analiz autentycznoci danych oraz znaczni-kw czasowych.

RaportWynikiem pracy specjalistw Computer Forensics

jest szczegowy raport zawierajcy informacje o od-nalezionych danych istotnych dla prowadzonej spra-wy. Elementem raportu powinno by take osadzeniew czasie kluczowych zdarze.

Jako, e tre raportu musi by cile skorelowanaze spraw konieczna jest bliska wsppraca specjali-stw w laboratorium z osobami prowadzcymi spraw.Elementem wsppracy laboratorium informatyki led-czej i klienta jest take przedstawianie wynikw pracw sdzie. Informatycy ledczy przywoani przez proku-ratora i sdy dla wydania opinii prezentuj materia do-wodowy jako tzw. biegli ad-hoc . Pomimo faktu, e niewszystkie sprawy trafiaj na wokand, wszystkie czyn-noci w ramach procesu musz by prowadzone w ta-ki sposb, aby warto dowodowa zgromadzonego

materiau bya niepodwaalna. Na wiecie tylko okoo20 procent spraw prowadzonych przez specjalistw in-formatyki ledczej ma fina w sdzie. Czsto potrzeb-ne s jedynie np. dowody winy pracownika pozwalaj-ce pracodawcy na uszczelnienie systemu dostpu doinformacji. Jak wspomniano wczeniej jedn z najcz-ciej analizowanych kategorii danych w procesie in-formatyki ledczej s plikipoczty elektronicznej i wy-daje si, e ta kategoria da-nych nie ustpi z pierwsze-go miejsca w cigu najbli-szych lat.

Na kadym z powyszychetapw istnieje moliwowykorzystania danych z wia-domoci e-mail w procesiedowodowym zmierzajcymdo wykrycia przecieku in-formacji, czy to poprzez od-tworzenie treci podejrzanejwiadomoci, czasu jej wy-sania czy te innych cech.

Korporacyjne serwerypocztowe przechowuj wia-domoci wszystkich pra-cownikw, ktrzy korzysta-

j z poczty elektronicznej.

Zgodnie z wymogami Disaster Recovery Plans spo-rzdzane i przechowywane s kopie zapasowe zaso-bw gromadzonych na serwerach firmowych. Czstospecjalici informatyki ledczej staj przed konieczno-ci analizy wielu milionw informacji pocztowych nie-

jednokrotnie pochodzcych z rnych serwerw (ichkopii bezpieczestwa).

Najciekawsze przypadki informatyki ledczej rozwi-zane przez specjalistw informatyki ledczej w Polscei na wiecie:

1. Sprawa gdaskiej gimnazjalistkiDziaania zwizane z informatyk ledcz nie dotycz

jedynie danych zamieszczonych na dyskach twardychkomputerw, ale rwnie na takich urzdzeniach, jakpamici flash, bd telefony komrkowe.

W zwizku ze zwikszajc si liczb funkcji i pojem-noci telefonw komrkowych, dane z nich pochodz-ce mog sta si cennym rdem dowodowym, wyko-rzystywanym w informatyce ledczej. Jednym z takichprzypadkw bya udana prba odzyskania filmu zapi-sanego na telefonie komrkowym jednego z gdaskichuczniw w roku 2006.

Film ten by zapisem napastowania jednej z gimna-zjalistek przez grup jej kolegw, w tym chopca na-grywajcego to zdarzenie, podczas lekcji w szkole.Nagranie to zostao nastpnie opublikowane w Inter-

necie, co mogo doprowadzi do samobjczej mier-ci dziewczynki.Po tym zdarzeniu i rozgosie, jaki zosta mu nadany

w mediach, chopcy skasowali film. Telefon zosta jed-nak zabezpieczony przez policj, ktrej przedstawicie-le w toku postpowania przekazali aparat do analizyspecjalistom informatyki ledczej. W laboratorium in-

Rysunek 2. Specjalici Kroll Ontrack podczas odzyskiwania danych w laboratorium

8/8/2019 hakin9 07.2010 PL

34/507/201034

PRAKTYKA

formatyki ledczej odzyskano wykasowan zawartotelefonu, w tym nagranie z lekcji. Film zosta wykorzy-stany w sprawie.

2. Komputer prezesa portalu wp.plSprawa komputera prezesa Wirtualnej Polskiej jestprzykadem straty jak poniosa jedna ze stron z po-wodu braku wiadomoci istnienia usug informatykiledczej w Polsce.

Wikszociowy udziaowiec portalu wp.pl zawarporozumienie z posiadaczami udziaw stanowicy-mi mnie

hakin9 07.2010 pl

Documents