Rozwój technologii służy również przestępcom. Wykrywanie śladów niewłaściwego użycia dotyczy maszyn, które zarówno posłużyły do przeprowadzenia ataków, jak i były ich przedmiotem. Obecnie dostępnych jest wiele opracowań poświęconych sposobom działania na miejscu zdarzenia i analizie działających systemów Linux za pomocą poleceń dostępnych po zalogowaniu się na pracującym urządzeniu. Równie ważną metodą pracy śledczej jest badanie obrazu dysku, tworzonego zgodnie z regułami kryminalistyki. Można też podłączyć badany dysk do maszyny badawczej ― w bezpieczny sposób, za pośrednictwem kryminalistycznego blokera zapisu. I właśnie o tych technikach mowa w tej książce.
Dokładnie opisano w niej, jak lokalizować i interpretować dowody elektroniczne znajdujące się na komputerach stacjonarnych, serwerach i urządzeniach IoT pracujących pod kontrolą systemu Linux, a także jak odtwarzać ciąg zdarzeń, które nastąpiły po popełnieniu przestępstwa lub wystąpieniu incydentu związanego z bezpieczeństwem. Przedstawiono zasady analizy pamięci masowej, systemu plików i zainstalowanego oprogramowania. Wyjaśniono sposób badania dziennika systemd, dzienników jądra i jego systemu audytu, jak również dzienników demonów i aplikacji. Ponadto znajdziesz tu omówienie metod analizy konfiguracji sieciowej, w tym interfejsów, adresów, menedżerów sieci i artefaktów związanych z sieciami bezprzewodowymi, sieciami VPN czy zaporami.
Dzięki książce dowiesz się, jak:
- sprawdzać istotne ustawienia
- zrekonstruować proces uruchamiania Linuksa
- analizować tabele partycji, zarządzanie woluminami, systemy plików, układ katalogów, zainstalowane oprogramowanie i konfigurację sieci
- badać historię środowiska fizycznego, restartów i awarii systemu
- analizować sesje logowania użytkowników
- identyfikować ślady podłączonych urządzeń peryferyjnych
Analiza Linuksa: zacznij przygodę z informatyką śledczą!
Spis treści
Wprowadzenie
1. Zarys informatyki śledczej
- Historia informatyki śledczej
- Do roku 2000
- Lata 2000 - 2010
- Lata 2010 - 2020
- Rok 2020 i później
- Cyfrowa analiza kryminalistyczna - trendy i wyzwania
- Zmiany wielkości, lokalizacji i złożoności dowodów
- Kwestie międzynarodowe
- Współpraca przemysłu, środowiska akademickiego i organów ścigania
- Zasady analizy kryminalistycznej post mortem
- Standardy badań cyfrowych
- Recenzowane badania naukowe
- Regulacje branżowe i najlepsze praktyki
- Pozostałe zagadnienia kryminalistyczne
- Gotowość kryminalistyczna
- Antykryminalistyka
2. Linux
- Historia Linuksa
- Uniksowe korzenie Linuksa
- Wczesne systemy Linux
- Wczesne środowiska graficzne
- Nowoczesne systemy Linux
- Sprzęt komputerowy
- Jądro
- Urządzenia
- Systemd
- Linia poleceń
- Nowoczesne środowiska graficzne
- Dystrybucje Linuksa
- Ewolucja dystrybucji Linuksa
- Dystrybucje oparte na Debianie
- Dystrybucje oparte na SUSE
- Dystrybucje oparte na Red Hacie
- Dystrybucje oparte na arch Linux
- Inne dystrybucje
- Analiza kryminalistyczna systemów Linux
3. Dowody znajdujące się na nośnikach pamięci i w systemach plików
- Analiza schematu pamięci i zarządzania woluminem
- Analiza tablic partycji
- Zarządca woluminów logicznych
- Linux Software RAID
- Analiza kryminalistyczna systemu plików
- Koncepcja systemu plików w Linuksie
- Artefakty w systemach plików Linuksa
- Wyświetlanie i wyodrębnianie danych
- Analiza ext4
- Metadane systemu plików - superblok
- Metadane pliku - i-węzły
- Wyświetlanie listy plików i wyodrębnianie
- Analiza btrfs
- Metadane systemu plików - superblok
- Metadane pliku - i-węzły
- Wiele urządzeń i podwoluminów
- Wyświetlanie listy plików i wyodrębnianie
- Analiza xfs
- Metadane systemu plików - superblok
- Metadane pliku - i-węzły
- Wyświetlanie listy plików i wyodrębnianie
- Analiza wymiany systemu Linux
- Identyfikacja i analiza wymiany
- Hibernacja
- Analiza szyfrowania systemu plików
- Szyfrowanie całego dysku za pomocą LUKS
- Szyfrowanie katalogów za pomocą eCryptfs
- Szyfrowanie katalogów za pomocą fscrypt (ext4 directory encryption)
- Podsumowanie
4. Hierarchia katalogów i analiza kryminalistyczna plików systemowych
- Układ katalogów w Linuksie
- Hierarchia systemu plików
- Katalog domowy użytkownika
- Bazy danych skrótów i NSRL dla Linuksa
- Typy i identyfikacja plików w systemie Linux
- Typy plików POSIX
- Sygnatury i rozszerzenia plików
- Pliki ukryte
- Analiza plików z systemu Linux
- Metadane aplikacji
- Analiza treści
- Pliki wykonywalne
- Awarie i zrzuty rdzenia
- Zrzuty pamięci procesu
- Dane dotyczące awarii aplikacji i dystrybucji
- Awarie jądra
- Podsumowanie
5. Dowody znajdujące się w logach systemowych
- Tradycyjny Syslog
- Źródło, istotność i priorytet
- Konfiguracja Sysloga
- Analiza komunikatów Sysloga
- Dziennik systemd
- Funkcje i elementy dziennika systemd
- Konfiguracja dziennika systemd
- Analiza zawartości plików dziennika systemd
- Inne mechanizmy logowania wykorzystywane przez aplikacje i demony
- Niestandardowe rejestrowanie w Syslogu lub dzienniku systemd
- Niezależne logi aplikacji serwerowych
- Niezależne logi aplikacji użytkownika
- Logi z uruchomienia systemu - ekran logowania Plymouth
- Logi z jądra i systemu audytu
- Bufor cykliczny jądra
- System audytu Linuksa
- Podsumowanie
6. Rekonstrukcja procesu rozruchu i inicjalizacji systemu
- Analiza programów rozruchowych
- Rozruch z użyciem BIOS-u/MBR oraz GRUB-a
- Rozruch z użyciem UEFI oraz GRUB-a
- Konfiguracja GRUB-a
- Inne programy ładujące
- Analiza inicjalizacji jądra
- Parametry przekazywane do jądra w trakcie jego uruchamiania
- Moduły jądra
- Parametry jądra
- Analiza initrd i initramfs
- Analiza systemd
- Pliki jednostek systemd
- Proces inicjalizacji systemd
- Usługi systemd i demony
- Aktywacja i usługi na żądanie
- Planowane uruchomienia poleceń i timery
- Analiza zasilania i środowiska fizycznego
- Analiza zasilania i środowiska fizycznego
- Dowody dotyczące uśpienia, wyłączenia i ponownego uruchomienia
- Wskaźniki bliskości człowieka
- Podsumowanie
7. Badanie zainstalowanego oprogramowania
- Identyfikacja systemu
- Informacje o wersji dystrybucji
- Unikalny identyfikator maszyny
- Nazwa hosta
- Analiza instalatora dystrybucji
- Instalator Debiana
- Raspberry Pi Raspian
- Fedora Anaconda
- SUSE YaST
- Arch Linux
- Analiza formatów plików pakietów
- Format pakietu binarnego w Debianie
- Menedżer pakietów Red Hat
- Pakiety Arch Pacman
- Analiza systemów zarządzania pakietami
- Debian apt
- Fedora dnf
- SUSE zypper
- Arch Pacman
- Analiza uniwersalnych pakietów oprogramowania
- AppImage
- Flatpak
- Snap
- Centra oprogramowania i interfejsy graficzne
- Inne metody instalacji oprogramowania
- Ręcznie skompilowane i zainstalowane oprogramowanie
- Pakiety języków programowania
- Wtyczki do aplikacji
- Podsumowanie
8. Identyfikacja artefaktów związanych z konfiguracją sieci
- Analiza konfiguracji sieci
- Interfejsy i adresowanie w Linuksie
- Menedżery sieci i konfiguracja specyficzna dla dystrybucji
- Zapytania DNS
- Usługi sieciowe
- Analiza sieci bezprzewodowej
- Artefakty związane z Wi-Fi
- Artefakty związane z Bluetooth
- Artefakty WWAN
- Artefakty związane z bezpieczeństwem sieci
- WireGuard, IPsec i OpenVPN
- Zapory systemu Linux i kontrola dostępu na podstawie adresu IP
- Ustawienia proxy
- Podsumowanie
9. Analiza kryminalistyczna czasu i lokalizacji
- Analiza konfiguracji czasu w systemie Linux
- Formaty czasu
- Strefy czasowe
- Czas letni i czas przestępny
- Synchronizacja czasu
- Znaczniki czasu i kryminalistyczne osie czasu
- Internacjonalizacja
- Ustawienia regionalne i językowe
- Układ klawiatury
- Linux i położenie geograficzne
- Historia lokalizacji geograficznej
- Usługa geolokalizacji GeoClue
- Podsumowanie
10. Rekonstrukcja procesu logowania oraz aktywności w środowisku graficznym
- Analiza logowania i sesji w systemie Linux
- Stanowiska i sesje
- Logowanie do powłoki
- X11 i Wayland
- Logowanie w środowisku graficznym
- Autentykacja i autoryzacja
- Pliki użytkowników, grup i haseł
- Podwyższanie uprawnień
- GNOME Keyring
- KDE Wallet Manager
- Uwierzytelnianie biometryczne za pomocą odcisku palca
- GnuPG
- Artefakty pochodzące ze środowisk graficznych systemu Linux
- Ustawienia i konfiguracja środowiska
- Dane ze schowka
- Kosze
- Zakładki i ostatnie pliki
- Miniatury obrazów
- Dobrze zintegrowane ze środowiskiem graficznym aplikacje
- Inne artefakty występujące w środowiskach graficznych
- Dostęp przez sieć
- SSH
- Pulpit zdalny
- Sieciowe systemy plików i usługi chmurowe
- Podsumowanie
11. Ślady pozostawiane przez urządzenia peryferyjne
- Urządzenia peryferyjne w systemie Linux
- Zarządzanie urządzeniami w Linuksie
- Identyfikacja urządzeń USB
- Identyfikacja urządzeń PCI i Thunderbolt
- Drukarki i skanery
- Analiza drukarek i historii drukowania
- Analiza urządzeń skanujących i historii skanowania
- Pamięć zewnętrzna
- Identyfikacja nośnika pamięci
- Dowody montażu systemu plików
- Podsumowanie
Posłowie
A. Lista plików i katalogów do sprawdzenia w trakcie śledztwa
Skorowidz