"Mina anteckningar kring forensics och dataanalys 2011"

2011-05-23

Den 12 maj höll jag ett föredrag för IT-souths årliga vårkonferens och pratade där dels om den komplexa bilden som råder idag vad gäller möjligheter att lita på forensiskt data, men visade också några möjligheter till analys (bland annat utvinning ur iphone-data samt nätverksanalys via Codenomicons verktyg Network analyzer). IBAS, Cybercom och Skatteverket tillhörde några av de övriga talarna som bl a demonstrerade mjukvara skapad för att manipulera kassasystem samt programvara för att extrahera viss information från iPhone. 

Jag pratade om vad forensisk analys är för något, att ordet har sin ursprungsbetydelse från latinska språkets "forensis" som betyder "publikt" och "inför forumet". När någon var anklagad för brott lät man saken debatteras i ett forum där folkutvalda representanter samt den anklagade och eventuellt offer. Den part som kunde argumentera bäst för sin sak och göra detta på ett övertygande sätt vann då också dessa processer. Inom den forensiska disciplinen handlar saken ofta om att fastställa en händelsekedja och en tidslinje för en specifik händelse. Man tittar på de spår och den information som lämnats bakom och försöker genom denna information sammanställa en bild av vad som hänt. Det kan handla om loggar från en DHCP-server, webbserver, extrahering och dataåtervinning av e-post, analys av lagringsmedia, analys av nätverkstrafik, malwareanalys (trojan, mask, rootkit, bootkit etc),  utvinning av data från mobila enheter (mobiltelefoner, bärbara datorer, surfplattor). Alla spår berättar något om vad som hänt, att en viss mac-adress (hårdvaruadress för nätverkskort) fått en ip-adress tilldelad vid ett visst datum/klockslag, att ett excelark innehållande kunddata skickats från den anställdes e-post till den nya arbetsgivarens e-postdomän eller att en essentiell drivrutin i windowskärnan modifierats vid datum/tid X berättar alla en historia som man sedan kan använda som underlag för att fastställa en händelsekedja.

Bootkits och kryptering är några av de "nya" malwarefenomen som kan ställa till det för en forensiker, där hårddiskdata görs otillgänglig för den som inte tränats i malware-analys och riskerar att kompromettera en hel utredning. 

Likaså riskerar SSD-teknik (ibland med signal/noise-ratio-problem, som jag visade i föredraget) att ställa till det vid dataanalys eftersom lagringsmekanismerna i exempelvis SSD ofta är proprietär information som på grund av konkurrensskäl inte kan vara helt transparent. 

Virtualisering och metoder för att motverka antivirusföretagens virtualisering av bootkits och rootkits tillhör också fåran av mer avancerad malware som försvårar analys.

Senare i föredraget tog jag snabbt upp iPhone/iPad/iPod forensics och vad för slags intressant information som man kan hitta i dessa mobila enheter. Ip* (iphone/ipad/ipod) kör på en XNU/BSD/Darwin kärna, mycket lik Mac OS X i flera hänseenden och i förlängningen då stora likheter med generiska unix-operativsystem. Jag visade på några intressanta databaser i IOS (namnet på operativsystemet) som lagrar SMS, adressboksuppgifter, samtalslistor, consolidated.db (omdebatterad databas som lagrar gps- och wifidata även om man stänger av funktionen i operativsystemet - förutsätter dock GPS-mottagare i t ex iphone och ipad), metadata i de foton som tas med kameran etc.

Nedan är ett par skärmdumpar för några av de verktyg jag utvecklat för iPhone-analys.

img_meta.py extraherar EXIF-metadata i JPG-filen, omvandlar och skriver ut information om GPS-data om det är så att denna information finns lagrad i JPG-filen.

 

Extraherar information om lagrad GPS-data samt wifi-accesspunkter från consolidated.db.

Tack till Dataföreningen IT-south för en lyckad vårkonferens med både intressanta talare och engagerad publik!