Systemy Linux w kryminalistyce Łódź

Rozwój technologii służy również przestępcom. Wykrywanie śladów niewłaściwego użycia dotyczy maszyn, które zarówno posłużyły do przeprowadzenia ataków, jak i były ich przedmiotem. Obecnie dostępnych jest wiele opracowań poświęconych sposobom działania na miejscu zdarzenia i analizie działających systemów Linux za pomocą poleceń dostępnych po zalogowaniu się na pracującym urządzeniu. Równie ważną metodą pracy śledczej jest badanie obrazu dysku, tworzonego zgodnie z regułami kryminalistyki. Można też podłączyć badany dysk do maszyny badawczej ... w bezpieczny sposób, za pośrednictwem kryminalistycznego blokera zapisu. I właśnie o tych technikach mowa w tej książce. Dokładnie opisano w niej, jak lokalizować i interpretować dowody elektroniczne znajdujące się na komputerach stacjonarnych, serwerach i urządzeniach IoT pracujących pod kontrolą systemu Linux, a także jak odtwarzać ciąg zdarzeń, które nastąpiły po popełnieniu przestępstwa lub wystąpieniu incydentu związanego z bezpieczeństwem. Przedstawiono zasady analizy pamięci masowej, systemu plików i zainstalowanego oprogramowania. Wyjaśniono sposób badania dziennika systemd, dzienników jądra i jego systemu audytu, jak również dzienników demonów i aplikacji. Ponadto znajdziesz tu omówienie metod analizy konfiguracji sieciowej, w tym interfejsów, adresów, menedżerów sieci i artefaktów związanych z sieciami bezprzewodowymi, sieciami VPN czy zaporami. Dzięki książce dowiesz się, jak: sprawdzać istotne ustawienia zrekonstruować proces uruchamiania Linuksa analizować tabele partycji, zarządzanie woluminami, systemy plików, układ katalogów, zainstalowane oprogramowanie i konfigurację sieci badać historię środowiska fizycznego, restartów i awarii systemu analizować sesje logowania użytkowników identyfikować ślady podłączonych urządzeń peryferyjnych Analiza Linuksa: zacznij przygodę z informatyką śledczą! Spis treści: Wprowadzenie 1. Zarys informatyki śledczej Historia informatyki śledczej Do roku 2000 Lata 2000 - 2010 Lata 2010 - 2020 Rok 2020 i później Cyfrowa analiza kryminalistyczna - trendy i wyzwania Zmiany wielkości, lokalizacji i złożoności dowodów Kwestie międzynarodowe Współpraca przemysłu, środowiska akademickiego i organów ścigania Zasady analizy kryminalistycznej post mortem Standardy badań cyfrowych Recenzowane badania naukowe Regulacje branżowe i najlepsze praktyki Pozostałe zagadnienia kryminalistyczne Gotowość kryminalistyczna Antykryminalistyka 2. Linux Historia Linuksa Uniksowe korzenie Linuksa Wczesne systemy Linux Wczesne środowiska graficzne Nowoczesne systemy Linux Sprzęt komputerowy Jądro Urządzenia Systemd Linia poleceń Nowoczesne środowiska graficzne Dystrybucje Linuksa Ewolucja dystrybucji Linuksa Dystrybucje oparte na Debianie Dystrybucje oparte na SUSE Dystrybucje oparte na Red Hacie Dystrybucje oparte na arch Linux Inne dystrybucje Analiza kryminalistyczna systemów Linux 3. Dowody znajdujące się na nośnikach pamięci i w systemach plików Analiza schematu pamięci i zarządzania woluminem Analiza tablic partycji Zarządca woluminów logicznych Linux Software RAID Analiza kryminalistyczna systemu plików Koncepcja systemu plików w Linuksie Artefakty w systemach plików Linuksa Wyświetlanie i wyodrębnianie danych Analiza ext4 Metadane systemu plików - superblok Metadane pliku - i-węzły Wyświetlanie listy plików i wyodrębnianie Analiza btrfs Metadane systemu plików - superblok Metadane pliku - i-węzłyWiele urządzeń i podwoluminów Wyświetlanie listy plików i wyodrębnianie Analiza xfs Metadane systemu plików - superblok Metadane pliku - i-węzły Wyświetlanie listy plików i wyodrębnianie Analiza wymiany systemu Linux Identyfikacja i analiza wymiany Hibernacja Analiza szyfrowania systemu plików Szyfrowanie całego dysku za pomocą LUKS Szyfrowanie katalogów za pomocą eCryptfs Szyfrowanie katalogów za pomocą fscrypt (ext4 directory encryption) Podsumowanie 4. Hierarchia katalogów i analiza kryminalistyczna plików systemowych Układ katalogów w Linuksie Hierarchia systemu plików Katalog domowy użytkownika Bazy danych skrótów i NSRL dla Linuksa Typy i identyfikacja plików w systemie Linux Typy plików POSIX Sygnatury i rozszerzenia plików Pliki ukryte Analiza plików z systemu Linux Metadane aplikacji Analiza treści Pliki wykonywalne Awarie i zrzuty rdzenia Zrzuty pamięci procesu Dane dotyczące awarii aplikacji i dystrybucji Awarie jądra Podsumowanie 5. Dowody znajdujące się w logach systemowych Tradycyjny Syslog Źródło, istotność i priorytet Konfiguracja Sysloga Analiza komunikatów Sysloga Dziennik systemd Funkcje i elementy dziennika systemd Konfiguracja dziennika systemd Analiza zawartości plików dziennika systemd Inne mechanizmy logowania wykorzystywane przez aplikacje i demony Niestandardowe rejestrowanie w Syslogu lub dzienniku systemd Niezależne logi aplikacji serwerowych Niezależne logi aplikacji użytkownika Logi z uruchomienia systemu - ekran logowania Plymouth Logi z jądra i systemu audytu Bufor cykliczny jądra System audytu Linuksa Podsumowanie 6. Rekonstrukcja procesu rozruchu i inicjalizacji systemu Analiza programów rozruchowych Rozruch z użyciem BIOS-u/MBR oraz GRUB-a Rozruch z użyciem UEFI oraz GRUB-a Konfiguracja GRUB-a Inne programy ładujące Analiza inicjalizacji jądra Parametry przekazywane do jądra w trakcie jego uruchamiania Moduły jądra Parametry jądra Analiza initrd i initramfs Analiza systemd Pliki jednostek systemd Proces inicjalizacji systemd Usługi systemd i demony Aktywacja i usługi na żądanie Planowane uruchomienia poleceń i timery Analiza zasilania i środowiska fizycznego Analiza zasilania i środowiska fizycznego Dowody dotyczące uśpienia, wyłączenia i ponownego uruchomienia Wskaźniki bliskości człowieka Podsumowanie 7. Badanie zainstalowanego oprogramowania Identyfikacja systemu Informacje o wersji dystrybucji Unikalny identyfikator maszyny Nazwa hosta Analiza instalatora dystrybucji Instalator Debiana Raspberry Pi Raspian Fedora Anaconda SUSE YaST Arch Linux Analiza formatów plików pakietów Format pakietu binarnego w Debianie Menedżer pakietów Red Hat Pakiety Arch Pacman Analiza systemów zarządzania pakietami Debian aptFedora dnf SUSE zypper Arch Pacman Analiza uniwersalnych pakietów oprogramowania AppImage Flatpak Snap Centra oprogramowania i interfejsy graficzne Inne metody instalacji oprogramowania Ręcznie skompilowane i zainstalowane oprogramowanie Pakiety języków programowania Wtyczki do aplikacji Podsumowanie 8. Identyfikacja artefaktów związanych z konfiguracją sieci Analiza konfiguracji sieci Interfejsy i adresowanie w Linuksie Menedżery sieci i konfiguracja specyficzna dla dystrybucji Zapytania DNS Usługi sieciowe Analiza sieci bezprzewodowej Artefakty związane z Wi-Fi Artefakty związane z Bluetooth Artefakty WWAN Artefakty związane z bezpieczeństwem sieci WireGuard, IPsec i OpenVPN Zapory systemu Linux i kontrola dostępu na podstawie adresu IP Ustawienia proxy Podsumowanie 9. Analiza kryminalistyczna czasu i lokalizacji Analiza konfiguracji czasu w systemie Linux Formaty czasu Strefy czasowe Czas letni i czas przestępny Synchronizacja czasu Znaczniki czasu i kryminalistyczne osie czasu Internacjonalizacja Ustawienia regionalne i językowe Układ klawiatury Linux i położenie geograficzne Historia lokalizacji geograficznej Usługa geolokalizacji GeoClue Podsumowanie 10. Rekonstrukcja procesu logowania oraz aktywności w środowisku graficznym Analiza logowania i sesji w systemie Linux Stanowiska i sesje Logowanie do powłoki X11 i Wayland Logowanie w środowisku graficznym Autentykacja i autoryzacja Pliki użytkowników, grup i haseł Podwyższanie uprawnień GNOME Keyring KDE Wallet Manager Uwierzytelnianie biometryczne za pomocą odcisku palca GnuPG Artefakty pochodzące ze środowisk graficznych systemu Linux Ustawienia i konfiguracja środowiska Dane ze schowka Kosze Zakładki i ostatnie pliki Miniatury obrazów Dobrze zintegrowane ze środowiskiem graficznym aplikacje Inne artefakty występujące w środowiskach graficznych Dostęp przez sieć SSH Pulpit zdalny Sieciowe systemy plików i usługi chmurowe Podsumowanie 11. Ślady pozostawiane przez urządzenia peryferyjne Urządzenia peryferyjne w systemie Linux Zarządzanie urządzeniami w Linuksie Identyfikacja urządzeń USB Identyfikacja urządzeń PCI i Thunderbolt Drukarki i skanery Analiza drukarek i historii drukowania Analiza urządzeń skanujących i historii skanowania Pamięć zewnętrzna Identyfikacja nośnika pamięci Dowody montażu systemu plików Podsumowanie Posłowie A. Lista plików i katalogów do sprawdzenia w trakcie śledztwa Skorowidz O autorze: Bruce Nikkel jest profesorem Bern University of Applied Sciences w Szwajcarii, specjalizuje się w zagadnieniach informatyki śledczej i cyberprzestępczości. Od 1997 roku pracuje również w działach ryzyka i bezpieczeństwa jednej z globalnych instytucji finansowych. Jest redaktorem czasopisma Forensic Science International: Digital Investigation.