Datautvinning från digitala lagringsmedia DT2002 26:e maj 2009 0900-1300 IDE, Högsklan i Halmstad Kntaktpersn: Mattias Weckstén, ankn. 7396 Betyg: 55 p => 3 70 p => 4 85 p => 5 Max: 100 p Tillåtna hjälpmedel: Skrivmaterial. Km ihåg: Skriv namn ch persnnummer på varje blad Numrera bladen Numrera svaren tydligt, siffra ch ev. bkstav, t.ex. 7 a) Svara på frågan. Tänk på att många päng kräver längre svar ch få päng krtare svar. Om du skriver vidkmmande eller felaktiga uppgifter i svaret kan det bli pängavdrag på den frågan. Lycka till!
1. Vilka prblem kan du hamna i m du använder en bt-diskett du skapat i Windws genm frmateringsverktyget (en helt vanlig Windws-bt-diskett)? (2p) Om man btar från en sådan diskett kan man inte vara säker på att inte innehållet påhårddiskarna ändras. Exempelvis kan IO.SYS ladda drivrutiner sm mnterar hårddiskarna ch skadar vissa tidsstämplar. 2. Ge fyra exempel på vad sm ur efrensisk synvinkel kan ses sm en incident? (4p) Stöld av affärshemlighet SPAM eller trakaserier via e-pst Otillåtet eller lagligt intrång i datrsystem Förskingring Innehav eller distributin av tillåtet innehåll (barnprr, laglig våldsskildring) Denial-f-service attacker Skadeståndsgrundande påverkan av affärsrelatiner Utpressning 3. Av vilken anledning skulle man vilja segmentera en frensisk avbild? (2p) Om man har begränsningar i lagringssystemet (max mediastrlek, max filstrlek). För att kunna generera mer detaljerade hashsummr. 4. När man analyserar filer förekmmer tre lika tidsstämplar. Förklara krtfattat deras respektive syfte i valfritt perativsystem (a, c, m / a, c, w). (3p) a senaste access (läsning av fil/ flderaccess) c senaste förändring av filen (skrivning) m senaste förändring av kntrlldata för filen (namnbyte, mde, ägarskap) 5. Ge fyra krtfattade exempel på mment sm måste vidtas innan en incident inträffar (pre-incident preparatin). (4p) Riskanalys Förbered nderna för analys ch återställning Säkra nätet Ta fram plicys ch prcedurer för incidentrespnsen Ta fram ett respnskit Skapa en respnsgrupp 6. Förklara krtfattat följande begrepp (8p) a) Frensisk avbild b) Checksumma c) Vlatil data d) Swap a) Frensisk avbild = en kpia av tex. en hårddisk, bit för bit, i frm av en rå dataström (ren datakpia). I de fall då läsfel uppstår måste detta hanteras på ett enhetligt sätt (lämpligtvis markeras). b) Checksumma = ett litet tal sm representerar egenskaperna hs en str datamängd. Om datat inte ändras så ändras inte checksumman. Om ett slumpmässigt fel uppstår i datamängden är det str sannlikhet att checksumman ändras. c) Vlatil data = flyktig data. Data sm kmmer att försvinna då du stänger av systemet, tex. data i RAM. d) Swap = fil eller partitin på hårddisken där delar av det flyktiga minnet kan lagras m det inte används för tillfället. Ökar prestandan på system med hög belastning.
7. Antag att du hamnar i en situatin där du påträffar en datr sm är påslagen ch där administratören är inlggad. Vilka data behöver du samla in innan du stänger av systemet? Ge fem exempel. (5p) Systemets tid ch datum (ch en krrekt referens) Lista över inlggade användare Tid/datumstämplar för alla filer i systemet Lista över körande prcesser Lista över öppna prtar Kppling mellan prcesser ch prtar Infrmatin i lika frmer av cachar 8. Ange tre metder sm kan användas för att dölja filers innehåll ch lämpliga strategier för att identifiera filerna i respektive fall. (6p) Kmprimering i lika frmer tex. zip, rar, upx Filerna identifieras sm kmprimerade ch måste packas upp innan det faktiska innehållet kan granskas. Genm att ange felaktig filtyp (tex..dll för en.jpg) kmmer filerna inte att kunna identifieras utan att man granskar dem individuellt. Detta kan man göra med signaturanalysatrer sm letar efter unika signaturer i datat för lika filfrmat (tex. en jpg bör innehålla tecknen JFIF i början av filen). Man kan även tänka sig att använda hashsummr m man har ett antal kända filer. Genm kryptering. Liknar kmprimering, måste avkrypteras innan analys kan göras. Prblem kan uppstå m lösenrdet är känt. Är filen känd av allmänheten kan matchning på checksumma göras (någn annan sm lyckats avkryptera den?) Genm att gömma fildata i allkerat, fritt, eller skadat utrymme på hårddisken. Detta data måste karvas ut genm signaturanalys eller genm att man söker efter fritext direkt. 9. Du vill göra en ttal avlyssning av en switch med 8 stycken 100 Mbit/s prtar. Switchen har en speciell avlyssningsprt med prestandan 1 Gbit/s sm kan kpplas in till din avlyssningsutrustning. För lagring så har du en hårddiskarray med kapaciteten 7.2 TByte. Under dessa förhållanden, hur lång tid i timmar kan du göra en fullständig avlyssning i värsta fallet? (6p) Datamängd sm genereras i värsta fallet: 8*100 Mbit/s => 800 Mbit/s => {8 bit = 1 byte} => 100 Mbyte/s. Kmmer avlyssningsprtens prestanda begränsa avlyssningen? 800 Mbit/s < 1 Gbit/s => Nej. Vi kan avlyssna 800 Mbit/s. Hur lång tid i timmar kan du göra en fullständig avlyssning? 7.2 Tbyte / 100 Mbyte/s => 7.2 * 10^12 / 1 * 10^8 => 7.2 * 10^4 s => {3600 s = 1 h} => 7.2 * 10^4 / 3.6 *10^3 => 20 h 10. Beskriv avlyssningsstrategierna trap & trace ch full cntent ch visa på för ch nackdelar hs de lika strategierna. (6p) Trap & trace kallas även för nn cntent mnitring, dvs. avlyssning av allt utm själva innehållet i datapaketen. Det sm sparas är infrmatin m prtkll, avsändare, mttagare, prtar, m.m., men inte själva datat i paketen. Exempelvis, m man kör trap & trace för en FTP-uppkppling kan man se all handskakning, från vilken nd förfrågan kmmer ch hur länge data överförs, men inte vilken data eller vilka kmmandn sm ges. Fullständig avlyssning, full cntent innebär att all data lggas ch då givetvis tillåter att behandling sker i efterhand. Fördelen med trap & trace är att den resulterar i relativt små vlymer data, vilket betyder att man kan lgga över lång tid. Det betyder ckså att prestandakravet blir lågt. Fördelen med full cntent är att all data sparas så man kan se i efterhand exakt vad sm hänt. Nackdelen är att den knsumerar stra vlymer data ch kräver hög prestanda. Trligtvis kan man hitta en balans mellan de båda där man lggar full cntent då man fått en speciell indikatin (tex. en viss IP eller en viss prt) ch trap & trace i övrigt.
11. Beskriv krtfattat uppgifterna hs de sex lagren i lagringsmdellen. (10p) a) Fysiska (physical) b) Dataklassificering (data classificatin) c) Allkeringsenheter (allcatin units) d) Lagringshantering (strage space management) e) Infrmatinsklassificering (infrmatin classificatin) + Applikatinslagring (applikatin-level strage) a) Det fysiska lagret är det lager sm har hand m kmmunikatinen på lägsta nivå ch med minsta dataenhet. Detta kallas för en sektr ch innehåller ftast 512 byte. En frensisk avbild kan göras genm att läsa ut alla sektrer i rdningsföljd, dvs. all infrmatin finns i sektrerna. b) Detta lager hanterar partitinering (uppdelning) av diskens yta. För att hålla kll på hur en disk är partitinerad behövs det en partitinstabell sm hanteras av detta lager. c) Allkeringslagret hanterar blckbildning av data (sm används av filsystemet). Data sm ska skrivas till hårddisken delas upp i blck sm i sin tur består av ett antal sektrer. Detta lager kan bara hantera hela blck vilket betyder att blckstrleken inverkar på minsta filstrleken. d) Lagringshanteringen hanterar filernas distributin till de lika blcken ch har för detta ändamål en filallkeringstabell. Detta är mer att likna vid en kedja där man kan nysta upp en given fil med start i ett visst blck. Varje element i kedjan kan antingen vara nästa blck i filen, filslutsmarkering, eller felmarkering. e) De översta lagren håller rdning på filer ch fldrar genm en fil- ch fldertabell där namn, strlek, startkluster, tidsstämplar mm. sparas. 12. Förklara följande termer sm förekmmer då man jbbar med filer: (10p) a) RAM-slack b) Fil-slack c) Allkerat utrymme d) Oallkerat utrymme e) Fritt utrymme a) Det utrymme i en sektr sm inte upptas av någn egentlig data. I vissa fall kan detta utrymme fyllas ut med slask från RAMet därav namnet. b) Outnyttjade sektrer i klustret. c) Kluster sm är markerade sm använda. d) Outnyttjade kluster i partitinen. e) Outnyttjat utrymme utanför partitinerna. 13. Förklara översiktligt i sex steg hur incidenthanteringen framskrider från förberedelse (pre-incident preparatin) till rapprt. (14p) 1. Före incidenten Förbered systemen, höj beredskapen, slå på lggning, virusskydd, ta backuper, skapa checksummr, spåra förändringar, säkra nätet. Skapa prcedurer ch riktlinjer. Identifiera riskerna. Förbered en verktygslåda. Skapa en insatsgrupp. 2. Incidenten uppdagas 3. Initial respns Försök få grepp m läget. Intervjua den sm uppdagade incidenten. Dkumentera så mycket sm möjligt. Samla in flyktiga bevis. Intervjua övriga. 4. Frmulera respnsstrategin Hur ser htet ut? Är incidenten pågående? Hur påverkar incidenten affärerna? Vad kstar utredningen ch vad skulle vinsten bli? Få beslut m incidenten ska utredas eller ej. Starta upp insatsgruppen. 5. Utredning Genmför datainsamling. Analysera data genm att söka efter nyckelrd, återställa raderade filer, analysera dlda filer, leta efter krypterat data ch andra avvikelser. 6. Sammanfatta arbetsgången ch resultaten i en rapprt till lämplig mttagare (ledning/ plis/ åklagare).
14. Beskriv krtfattat fem faktrer sm är avgörande för hur en incident kmmer att hanteras. (10p) Hur str är kstnaden/skadan av det inträffade? Utredningar kstar pengar ch måste kunna mtiveras. Vad kan man åstadkmma med en utredning? Kan vi få skadestånd? Är det trligt? Har vi eller kan vi samla in tillräckligt med bevis för att kunna föra ärendet vidare? Har vi ett tillräckligt underlag för att kunna lämna vidare undersökningen till de sm har kraftigare instrument att tillgå (tex. plisen)? Hur str blir skadan m incidenten blir publik? Tappar vi marknadsandelar? Skadas varumärket? Kan vi drabbas av åtal själva? Har vi ett fungerande samarbete med plis ch myndigheter så vi kan uppskatta resultatet vi kmmer att få? Vad säger histrien? Hur har vi hanterat detta tidigare? Vad hände då? 15. Beskriv vilka mment sm bör ingå då man ska ta fram en frensisk verktygslåda. (10p) Samla in de verktyg du behöver ch dkumentera dessa. Analysera verktygen så långt sm möjligt så du verkligen förstår vad verktygen utför. Helst så vill vi ha öppen källkd att titta på (m vi behöver/ vill). Eventuellt kmpilera verktygen. Kntrllera verktygens berenden med ett verktyg sm tex. filemn. Detta gör det möjligt att se vilka filer sm ett verktyg berr på (ch måste vara med i verktygslådan m möjligt). Skapa checksummr för varje fil ch verktygslådan sm helhet. Identifiera verktygslådan med datum, ansvarig ch eventuellt fall.