FAKUTET ELEKTROTEHNIKE I RAČUNARSTVA

SEMINAR IZ PREDMETA RAČUNALNA

FORENZIKA

FORENZIKA BAZE PODATAKA

Martin Sertić, 0036459089

Zagreb, Siječanj 2017.

Sadržaj

1. Uvod ..................................................................................................................................................... 3

2. Sigurnost baze podataka .................................................................................................................. 4

3. Postupak forenzičke analize baze podataka .................................................................................. 6

4. Alati za forenzičku analizu baze podataka ..................................................................................... 8

5. Zaključak ............................................................................................................................................ 10

6. Literatura ............................................................................................................................................ 11

1. Uvod

Svakodnevno dolazimo u doticaje s bazama podataka, kad surfamo

internetom, koristimo bankomat ili posjetimo doktora. U današnje vrijeme

gotovo sve aplikacije koriste baze. Privatne organizacije danas znaju da

njihove najvitalnije informacije koje su spremljene u bazu podataka nisu

sigurne u pogledu integriteta,dostupnosti i pouzdanosti. Postoji mnogo

neovisnih rizika za podatke u bazi i mnoge velike organizacije ostaju jako

ranjive. Ti rizici ostavljaju korisnike ranjivima u pogledu povrede njihovih

osobnih informacija, ili još gore kraĎe identiteta. Ti rizici ostaju zbog

nekoliko razloga, od kojih su neki:

Niski budžet

Manjak razumijevanja prijetnji

Manjak formalnih sigurnosnih procesa i postupaka za baze podataka

Previše zaposlenika s „root“ pristupom bazi

Manjak iskusnih sigurnosnih profesionalaca

Baze podataka imaju spremljene privatne i bitne informacije, čineći ih tako

glavnom metom počinitelja koji žele pristup tim podacima. Broj napadnutih

baza podataka raste svake godine, godine 2009. Bilo je otprilike 285

miliona kopromitiranih zapisa, 2010. Godine taj broj se popeo na 761

milion, a već godinu iza narastao je na 900 miliona.

Forenzika baza podataka je bitno područje računalne forenzike koje na

žalost nije toliko razvijeno. Manjak razvijenosti forenzike baza podataka

kao jedne od grana računalne forenzike je posljedica kompleksnosti baza

podataka koje nisu u potpunosti razumljive u forenzičkom kontekstu.

2. Sigurnost baze podataka

Podatak može biti definiran kao informacija koja može biti spremljena i ima

implicitno značenje, baza podataka je onda skup podataka koji su

pohranjeni i organizirani tako da mogu zadovoljiti zahtjeve korisnika.

Velikom količinom podataka spremljenima u bazi podataka upravlja sustav

za upravljanje bazom podataka(SUBP). Zadaće SUBP-a su sljedeće:

Trajna pohrana podataka

Osiguravanje programskog sučelje

o Omogućuje definiciju i rukovanje s podacima

DDL-Data Definition Language

DML-Data Manipulation Language

Optimiranje metoda pristupa podacima

Zaštita podataka

o Integritet podataka

o Pristup podacima-autorizacija, sigurnost

o Potpora za upravljanje transakcijama

Upravljanje istodobnim pristupom

Obnova u slučaju rušenja

Različiti korisnici pristupaju bazama podataka, ali sve njih možemo

klasificirati u četiri kategorije:

Korisnici koji često koriste bazu postavljajući standardne upite

koristeći programirana sučelja

Korisnici koji privremeno pristupaju bazi koristeći upitni jezik

Sofisticirani korisnici koji su dobro upoznati s bazom podataka i

koriste je na složeniji način

Administratori

Baze podataka imaju ozbiljne sigurnosne probleme. Oracle je objavio 69

sigurnosnih prijetnji, Microsoft SQL ima 36 sigurnosnih problema, DB2

ima oko 20 objavljenih sigurnosnih problema, MySQL oko 25, dok

PostgreSQL ima oko 12 sigurnosnih problema.

Litchfield, Anley, Heasman i Grindlay (2005), klasificiraju sigurnosne

probleme baza podataka u osam kategorija. Kategorije možemo vidjeti

na slici 1.

Slika 1- ranjivosti baze podataka

Sigurnost baze podataka se osigurava na nekoliko razina:

Na razini SUBP-a – spriječiti pristup bazama podataka ili onim

dijelovima za koje korisnici nisu ovlašteni

Na razini OS-a – spriječiti pristup radnoj memoriji računala ili

datotekama u kojima SUBP pohranjuje podatke

Na razini računalne mreže – spriječiti presretanje poruka

Fizička zaštita – zaštita lokacije poslužitelja sustava za upravljanje

bazama podataka

Na razini korisnika – spriječiti da ovlašteni korisnici bilo

nepažnjom, bilo namjerno omoguće neovlaštenim osobama

pristup podacima

Ne postoji savršeni zaštitni sloj ili metoda zato je potrebno žaštiti bazu na

što više razina. Proboj jedne razine zaštite ne znači da je sigurnost

podataka ugrožena. Bez obzira na količinu zaštite oko same baze

podataka, uvijek je potrebna zaštita unutar baze podataka.

3. Postupak forenzičke analize baze podataka

Postupak forenzičke analize može se podijeliti na dva glavna dijela, prva

faza je prije same analize gdje administrator baze podataka pokušava

očuvati kriminalnu scenu i osigurati da se ne dogodi mijenjanje podataka

čim se detektira proboj, dok je druga analiza. Prva faza je pasivna faza,

dok je druga aktivna. Prva faza ima bitnu ulogu, naime administrator može

dokumentirati sve aktivnosti vezane uz incident i ako je postupak obavljen

kako treba, može uvelike skratiti vrijeme forenzičke analize i sama baza

neće dugo biti ugašena. Veliki troškovi nastaju gašenjem baze i na vrlo

kratko vrijeme, istraživanje iz davne 1999. Godine tvrdi da u jednoj minuti u

kojoj baza ne radi se gubi oko 7000$, dok neke brokerske firme ta minuta

može koštati i preko 100 000$.

Aktivna faza forenzičke analize može se podijeliti u 4 dijela:

Identifikacija – u ovom dijelu prikupljaju se informacije o

kompromitiranom sustavu

Faza prikupljanja – prikupljanje dokaza iz kompromitiranog sustava

Faza analize – analiziranje prikupljenih podataka

Faza izvještaja – izvještaj stanja i počinjene štete

Kad netko pobriše tablicu u bazi ili neki podatak, on nije u potpunosti

izgubljen, repliciran je na nekoliko mjesta u bazi. Moguće je rekonstruirati

podatak iz tih mjesta. Baze sadrže nekoliko log datoteka iz kojih se mogu

iščitati aktivnosti koje su se radile na bazi i oni su glavni izvor dokaza za

forenzičare. Svaka baza ima drugačije log datoteke ali suština tih datoteka

je ista za razne vrste baza podataka. Za primjer ću uzeti MySQL bazu koja

sadrži sljedeće logove iz kojih se prikupljaju forenzički dokazi:

Error log – ova datoteka sadrži zapise o pokretanju i gašenju servera,

kao i poruke o problemima i iznimnim slučajevima u sustavima s

bazom podataka

General query log – sadrži popis klijentskih konekcija. Koristan je za

nadgledanje serverskih aktivnosti: tko se spaja, odakle i što radi

Binary log – sastoji se od jednog ili više podataka koji pohranjuju

naredbe koje modificiraju bazu podataka (to su naredbe poput

DELETE, INSERT, REPLACE, CREATE TABLE, DROP TABLE,

GRANT, REVOKE). Sadržaj binarnog loga je pisan kao SQL naredbe

u binarnom formatu

Update log – sličan binary logu, ali u tekst formatu i ne sadrži toliku

količinu podataka

Slow-query log – uloga ovog loga je pomoć pri identificiranju naredba

koje bi trebale biti drugačije napisane kako bi performansa bila bolja.

Server koristi varijablu long_query_time koja definira spori upit. Ako

upit traje više sekundi nego je definirano u long_query_time varijabli,

taj upit se smatra sporim i zabilježi se u slow-query log

4. Alati za forenzičku analizu baze podataka

Postoji mnogo forenzičkih alata koji se koriste za forenzičku analizu baze

podataka, no niti jedan nije namjenski za bazu. Forenzički alati koji se

izmeĎu ostalog koriste za analizu baza podataka su:

FTK (Forensic Toolkit)

o Alat je namijenjen računalnoj forenzici i služi za detektiranje

digitalne kraĎe na računalu. Ovaj alat je validiran od strane

sudova kao alat za digitalnu istragu na različitim platformama.

ProDiscover Forensics

o Ovaj alat je razvijen kao sigurnosni alat koji omogućuje

istražiteljima da otkiju podatke na disku računala koji onda

mogu biti priznati u sudskom procesu. Alat kreira bit-stream

kopiju diska koju cijelu pretražuje. Najbolje stvar kod ovog alata

je to što omogućuje istražiteljima da vide skrivene i pobrisane

datoteke.

IDEA

o IDEA je efikasan softver za analizu podataka koji je dizajniran

za detektiranje prijevara i analizu podataka. Sa svojim

integriranim funkcijama štedi dosta vremena istražiteljima

tijekom istrage. Omogućuje istražiteljima da detektiraju

promjene koje su napravljene nad bazom podataka, kao i

odžavanje audit i operacijskih logova.

ACL

o ACL daje softver za kontinuirano praćenje i audit analizu i brine

se o finacijskoj zajednici. ACL tehnologija pomaže donositeljima

odluka u financijskim ustanovama da detektiraju prevaru, ali i

nudi procjenu rizika kao i procjenu profitabilnosti za odreĎene

investicijske odluke.

Sleuth kit

o Ovaj forenzički alat koristi se za forenzičku analizu diska. Alat

istražuje žrtvino računalo bez da utječe na njegovu okolinu. Nije

baziran niti na jednom operacijskom sustavu, tako da može

raditi i na Windows i na Unix platformama kako bi procesirao

skrivene i obrisane datoteke. Prvotno je bio alat u komandnoj

liniji, no sad je smišljeno grafičko sučelje koje dodatno olakšava

primjenu alata.

Slika 2 – izgled korisničkog sučelja alata FTK

5. Zaključak

U današnje vrijeme broj zločina počinjenih računalom raste. Više nije pitanje hode

li biti napada nego kada de biti. Baze podataka su jako dobra meta za kriminalce

jer sadrže hrpu tajnih i povjerljivih podataka koje se mogu iskoristiti za krađu

identiteta ili češde prodati za novac. Forenzika baza podataka nije dobro razvijena

grana računalne forenzike uglavnom zbog činjenice da su baze podataka dosta

kompleksne i stoga je na njima teže obavljati forenzičku analizu. Iako kao grana

računalne forenzike nije dobro razvijena, svejedno je mogude otkriti je li baza

mijenjana. Baze podataka sadrže log datoteke u koje upisuju informacije o

aktivnostima koje se događaju. Forenzičkom analizom nad log datotekama

možemo saznati tko, kad i odakle je radio neke ne dopuštene stvari s bazom

podataka. U bazi podataka ima mnogo mjesta gdje se trenutno spremaju dijelovi

podataka i koristedi te podatke te log datoteke možemo otkriti aktivnosti iz

prošlosti i rekonstruirati izbrisane podatke. Kako je cyber kriminal u porastu,

budučnost rješavanja kriminalnih slučajeva leži upravo u računalnoj forenzici i

potrebno je uložiti u njezin razvoj.

6. Literatura

I. Towards a Forensic-Aware Database Solution: Using a secured Database Replication Protocol

and Transaction Management for Digital Investigations Peter Fruhwirta , Peter Kieseberga ,

Katharina Krombholza , Edgar Weippla

II. On The Role of Log Based Metadata in Forensic Analysis of Database Attacks: Shraddha Suratkar,

Harmeet Khanuja

III. Database Forensic Analysis Using Log Files: Mr. Jitendra R Chavan, Prof. Harmeet Kaur Khanuja

IV. Digital Evidence for Database Tamper Detection: Shweta Tripathi , Bandu Baburao Meshram

V. A Workflow to Support Forensic Database Analysis: Rojesh Susaimanickam

VI. Računalna forenzika, CERT

VII. Detecting Database Attacks Using Computer Forensics Tools- GRADUATE PROJECT TECHNICAL

REPORT: Farhath Fatima