Download - Použití hashsetů v EnCase Forensic v7
![Page 1: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/1.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
Použití hashsetův EnCase Forensic v7
26.5.2014Digital Forensics InfoDay 2014
Marián Svetlík jr.
![Page 2: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/2.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
2
co je to hashhashovací funkce je matematický algoritmus sloužící k převodu dat do podoby tzv. kontrolní sumy o definované délce
![Page 3: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/3.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
3
co je to hashMD5 je příkladem kryptografické hashovací funkce:
realtivně snadno generovatelná
je extrémně obtížné odvodit z výsledné kontrolní sumy podobu původních dat
je extrémně obtížné změnit původní data bez následné změny kontrolní sumy
je extrémně nepravděpodobné, že by z odlišných dat vznikla stejná kontrolní suma
![Page 4: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/4.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
4
co je to hashpro potřeby digitální forenzní analýzy mají kontrolní sumy dvě hlavní funkce:
vysoce spolehlivý způsob k prokázání, že dva soubory jsou identické (ověření autenticity binárních obrazů disků, ověření autenticity předkládaných důkazů apod.)
rychlé automatizované vyhledávání velkého množství potenciálně zajímavých souborů v rámci rozsáhlých datových struktur
![Page 5: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/5.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
5
nejpoužívanější hashovací fceMD5
128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější
PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.
![Page 6: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/6.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
6
nejpoužívanější hashovací fceMD5
128bit, 32-znaká kontrolní sumastále velmi rozšířený, diskutabilní bezpečnost kvůli zjištěným kolizím
SHA1160bit, 40-znaká kontrolní sumanejpoužívanější, zjištěna pouze teoretická kolize
SHA256 (SHA2)256bit, 64-znaká kontrolní sumanezjištěna kolize, výpočtově náročnější
PhotoDNAproprietární funkce společnosti Microsoftvyvinutá speciálně pro detekci dětské pornografievyužívaná např. v rámci Facebook, Twitter apod.
kontrolní suma se vypočítá pouze z obsahu:
• nemusí být totožný název• musí být totožný obsah
na základě složitých algoritmů dokáže ztotožnit i obrazové soubory se změněnou kvalitou či velikostí
![Page 7: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/7.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
7
proč (ne)používat jen MD5existuje kolize, tj. lze vytvořit dva soubory s rozdílným obsahem, ale stejnou kontrolní sumou
![Page 8: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/8.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
8
proč (ne)používat jen MD5všechny doposud známé kolize vychází ze dvou připravených a upravených souborů bez předem dané kontrolní sumy
nebyl zjištěn případ, kdy by se podařilo vytvořit soubor s jiným obsahem a stejnou kontrolní sumou ke kontrolní sumě již vypočtené
Přesto jsou nalezené kolize zneužívány k znevěrohodnění integrity důkazů -> průtahy při dokazování spolehlivosti MD5
![Page 9: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/9.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
9
hash knihovnyknihovny hashí (hashlists) jsou výčty kontrolních sum určitých skupin souborů
soubory operačního systémusoubory aplikačního vybaveníobrazové soubory totožné s již identifikovanými jako dětská pornografie apod.
slouží k urychlení vyhledávání v rámci velkých objemů dat (velká datová úložiště, cloudy, peer-to-peer sítě apod.)
![Page 10: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/10.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
10
hash v EnCase v7
název hashsetu
jednotlivé sumy hashsetu
podrobnosti zvýrazněné položky
Tools -> Manage hash library -> Manage hash items
![Page 11: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/11.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
11
vytvoření hashsetuvytvoření knihoven (Tools -> Manage hash library)
![Page 12: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/12.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
12
vytvoření hashsetupřiřazení knihoven jako primární / sekundární
(Case -> Hash libraries)
![Page 13: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/13.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
13
vytvoření hashsetuvytvoření hashsetu v rámci knihovny
![Page 14: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/14.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
14
vytvoření hashsetuvýběr souborů pro hashset
![Page 15: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/15.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
15
vytvoření hashsetu
![Page 16: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/16.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
16
vytvoření hashsetuhash knihovna
výběr hashsetu, do kterého přidáváme
volba metadat / vlastností
![Page 17: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/17.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
17
kontrola entity oproti hashsetuzkopírovat kontrolní sumu (hash) zájmového souboruTools -> Manage hash library -> Query All
hledaná hash
nalezené shody
metadata z hashlistu
![Page 18: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/18.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
18
vyhledávání shody s hashsetemověření, zda se na zkoumaných zařízeních vyskytují některé soubory z připravených hashsetůEnScript -> Find entries by hash category
(nutno ověřit, zda jsou k jednotlivým hashsetům přiřazeny kategorie: Tools -> Manage hash library -> Edit)
![Page 19: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/19.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
19
vyhledávání shody s hashsetem
soubory ze zkoumaných zařízení se shodnou hash vůči vybrané kategorii / hashlistu
karta Results
![Page 20: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/20.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
20
zdroje hash knihovenNational Software Reference Library
www.nsrl.nist.govkontrolní sumy souborů známých, dohledatelných aplikací
zvláštní zdroje pro law-enforcement sféruInterpol, Europol, FBI
vytváření vlastních knihoven
![Page 21: Použití hashsetů v EnCase Forensic v7](https://reader031.vdocuments.site/reader031/viewer/2022022213/546c43ceaf79595d298b4f64/html5/thumbnails/21.jpg)
www.
rac.
czRi
sk A
naly
sis C
onsu
ltant
sV0
6042
0
21
použití hashsetův EnCase Forensic v7
Dotazy
Marián Svetlík [email protected]
www.linkedin.com/pub/marian-svetlik-jr/60/aa5/2ba