Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
FAKUTET ELEKTROTEHNIKE I RAČUNARSTVA
SEMINAR IZ PREDMETA RAČUNALNA
FORENZIKA
FORENZIKA BAZE PODATAKA
Martin Sertić, 0036459089
Zagreb, Siječanj 2017.
Sadržaj
1. Uvod ..................................................................................................................................................... 3
2. Sigurnost baze podataka .................................................................................................................. 4
3. Postupak forenzičke analize baze podataka .................................................................................. 6
4. Alati za forenzičku analizu baze podataka ..................................................................................... 8
5. Zaključak ............................................................................................................................................ 10
6. Literatura ............................................................................................................................................ 11
1. Uvod
Svakodnevno dolazimo u doticaje s bazama podataka, kad surfamo
internetom, koristimo bankomat ili posjetimo doktora. U današnje vrijeme
gotovo sve aplikacije koriste baze. Privatne organizacije danas znaju da
njihove najvitalnije informacije koje su spremljene u bazu podataka nisu
sigurne u pogledu integriteta,dostupnosti i pouzdanosti. Postoji mnogo
neovisnih rizika za podatke u bazi i mnoge velike organizacije ostaju jako
ranjive. Ti rizici ostavljaju korisnike ranjivima u pogledu povrede njihovih
osobnih informacija, ili još gore kraĎe identiteta. Ti rizici ostaju zbog
nekoliko razloga, od kojih su neki:
Niski budžet
Manjak razumijevanja prijetnji
Manjak formalnih sigurnosnih procesa i postupaka za baze podataka
Previše zaposlenika s „root“ pristupom bazi
Manjak iskusnih sigurnosnih profesionalaca
Baze podataka imaju spremljene privatne i bitne informacije, čineći ih tako
glavnom metom počinitelja koji žele pristup tim podacima. Broj napadnutih
baza podataka raste svake godine, godine 2009. Bilo je otprilike 285
miliona kopromitiranih zapisa, 2010. Godine taj broj se popeo na 761
milion, a već godinu iza narastao je na 900 miliona.
Forenzika baza podataka je bitno područje računalne forenzike koje na
žalost nije toliko razvijeno. Manjak razvijenosti forenzike baza podataka
kao jedne od grana računalne forenzike je posljedica kompleksnosti baza
podataka koje nisu u potpunosti razumljive u forenzičkom kontekstu.
2. Sigurnost baze podataka
Podatak može biti definiran kao informacija koja može biti spremljena i ima
implicitno značenje, baza podataka je onda skup podataka koji su
pohranjeni i organizirani tako da mogu zadovoljiti zahtjeve korisnika.
Velikom količinom podataka spremljenima u bazi podataka upravlja sustav
za upravljanje bazom podataka(SUBP). Zadaće SUBP-a su sljedeće:
Trajna pohrana podataka
Osiguravanje programskog sučelje
o Omogućuje definiciju i rukovanje s podacima
DDL-Data Definition Language
DML-Data Manipulation Language
Optimiranje metoda pristupa podacima
Zaštita podataka
o Integritet podataka
o Pristup podacima-autorizacija, sigurnost
o Potpora za upravljanje transakcijama
Upravljanje istodobnim pristupom
Obnova u slučaju rušenja
Različiti korisnici pristupaju bazama podataka, ali sve njih možemo
klasificirati u četiri kategorije:
Korisnici koji često koriste bazu postavljajući standardne upite
koristeći programirana sučelja
Korisnici koji privremeno pristupaju bazi koristeći upitni jezik
Sofisticirani korisnici koji su dobro upoznati s bazom podataka i
koriste je na složeniji način
Administratori
Baze podataka imaju ozbiljne sigurnosne probleme. Oracle je objavio 69
sigurnosnih prijetnji, Microsoft SQL ima 36 sigurnosnih problema, DB2
ima oko 20 objavljenih sigurnosnih problema, MySQL oko 25, dok
PostgreSQL ima oko 12 sigurnosnih problema.
Litchfield, Anley, Heasman i Grindlay (2005), klasificiraju sigurnosne
probleme baza podataka u osam kategorija. Kategorije možemo vidjeti
na slici 1.
Slika 1- ranjivosti baze podataka
Sigurnost baze podataka se osigurava na nekoliko razina:
Na razini SUBP-a – spriječiti pristup bazama podataka ili onim
dijelovima za koje korisnici nisu ovlašteni
Na razini OS-a – spriječiti pristup radnoj memoriji računala ili
datotekama u kojima SUBP pohranjuje podatke
Na razini računalne mreže – spriječiti presretanje poruka
Fizička zaštita – zaštita lokacije poslužitelja sustava za upravljanje
bazama podataka
Na razini korisnika – spriječiti da ovlašteni korisnici bilo
nepažnjom, bilo namjerno omoguće neovlaštenim osobama
pristup podacima
Ne postoji savršeni zaštitni sloj ili metoda zato je potrebno žaštiti bazu na
što više razina. Proboj jedne razine zaštite ne znači da je sigurnost
podataka ugrožena. Bez obzira na količinu zaštite oko same baze
podataka, uvijek je potrebna zaštita unutar baze podataka.
3. Postupak forenzičke analize baze podataka
Postupak forenzičke analize može se podijeliti na dva glavna dijela, prva
faza je prije same analize gdje administrator baze podataka pokušava
očuvati kriminalnu scenu i osigurati da se ne dogodi mijenjanje podataka
čim se detektira proboj, dok je druga analiza. Prva faza je pasivna faza,
dok je druga aktivna. Prva faza ima bitnu ulogu, naime administrator može
dokumentirati sve aktivnosti vezane uz incident i ako je postupak obavljen
kako treba, može uvelike skratiti vrijeme forenzičke analize i sama baza
neće dugo biti ugašena. Veliki troškovi nastaju gašenjem baze i na vrlo
kratko vrijeme, istraživanje iz davne 1999. Godine tvrdi da u jednoj minuti u
kojoj baza ne radi se gubi oko 7000$, dok neke brokerske firme ta minuta
može koštati i preko 100 000$.
Aktivna faza forenzičke analize može se podijeliti u 4 dijela:
Identifikacija – u ovom dijelu prikupljaju se informacije o
kompromitiranom sustavu
Faza prikupljanja – prikupljanje dokaza iz kompromitiranog sustava
Faza analize – analiziranje prikupljenih podataka
Faza izvještaja – izvještaj stanja i počinjene štete
Kad netko pobriše tablicu u bazi ili neki podatak, on nije u potpunosti
izgubljen, repliciran je na nekoliko mjesta u bazi. Moguće je rekonstruirati
podatak iz tih mjesta. Baze sadrže nekoliko log datoteka iz kojih se mogu
iščitati aktivnosti koje su se radile na bazi i oni su glavni izvor dokaza za
forenzičare. Svaka baza ima drugačije log datoteke ali suština tih datoteka
je ista za razne vrste baza podataka. Za primjer ću uzeti MySQL bazu koja
sadrži sljedeće logove iz kojih se prikupljaju forenzički dokazi:
Error log – ova datoteka sadrži zapise o pokretanju i gašenju servera,
kao i poruke o problemima i iznimnim slučajevima u sustavima s
bazom podataka
General query log – sadrži popis klijentskih konekcija. Koristan je za
nadgledanje serverskih aktivnosti: tko se spaja, odakle i što radi
Binary log – sastoji se od jednog ili više podataka koji pohranjuju
naredbe koje modificiraju bazu podataka (to su naredbe poput
DELETE, INSERT, REPLACE, CREATE TABLE, DROP TABLE,
GRANT, REVOKE). Sadržaj binarnog loga je pisan kao SQL naredbe
u binarnom formatu
Update log – sličan binary logu, ali u tekst formatu i ne sadrži toliku
količinu podataka
Slow-query log – uloga ovog loga je pomoć pri identificiranju naredba
koje bi trebale biti drugačije napisane kako bi performansa bila bolja.
Server koristi varijablu long_query_time koja definira spori upit. Ako
upit traje više sekundi nego je definirano u long_query_time varijabli,
taj upit se smatra sporim i zabilježi se u slow-query log
4. Alati za forenzičku analizu baze podataka
Postoji mnogo forenzičkih alata koji se koriste za forenzičku analizu baze
podataka, no niti jedan nije namjenski za bazu. Forenzički alati koji se
izmeĎu ostalog koriste za analizu baza podataka su:
FTK (Forensic Toolkit)
o Alat je namijenjen računalnoj forenzici i služi za detektiranje
digitalne kraĎe na računalu. Ovaj alat je validiran od strane
sudova kao alat za digitalnu istragu na različitim platformama.
ProDiscover Forensics
o Ovaj alat je razvijen kao sigurnosni alat koji omogućuje
istražiteljima da otkiju podatke na disku računala koji onda
mogu biti priznati u sudskom procesu. Alat kreira bit-stream
kopiju diska koju cijelu pretražuje. Najbolje stvar kod ovog alata
je to što omogućuje istražiteljima da vide skrivene i pobrisane
datoteke.
IDEA
o IDEA je efikasan softver za analizu podataka koji je dizajniran
za detektiranje prijevara i analizu podataka. Sa svojim
integriranim funkcijama štedi dosta vremena istražiteljima
tijekom istrage. Omogućuje istražiteljima da detektiraju
promjene koje su napravljene nad bazom podataka, kao i
odžavanje audit i operacijskih logova.
ACL
o ACL daje softver za kontinuirano praćenje i audit analizu i brine
se o finacijskoj zajednici. ACL tehnologija pomaže donositeljima
odluka u financijskim ustanovama da detektiraju prevaru, ali i
nudi procjenu rizika kao i procjenu profitabilnosti za odreĎene
investicijske odluke.
Sleuth kit
o Ovaj forenzički alat koristi se za forenzičku analizu diska. Alat
istražuje žrtvino računalo bez da utječe na njegovu okolinu. Nije
baziran niti na jednom operacijskom sustavu, tako da može
raditi i na Windows i na Unix platformama kako bi procesirao
skrivene i obrisane datoteke. Prvotno je bio alat u komandnoj
liniji, no sad je smišljeno grafičko sučelje koje dodatno olakšava
primjenu alata.
Slika 2 – izgled korisničkog sučelja alata FTK
5. Zaključak
U današnje vrijeme broj zločina počinjenih računalom raste. Više nije pitanje hode
li biti napada nego kada de biti. Baze podataka su jako dobra meta za kriminalce
jer sadrže hrpu tajnih i povjerljivih podataka koje se mogu iskoristiti za krađu
identiteta ili češde prodati za novac. Forenzika baza podataka nije dobro razvijena
grana računalne forenzike uglavnom zbog činjenice da su baze podataka dosta
kompleksne i stoga je na njima teže obavljati forenzičku analizu. Iako kao grana
računalne forenzike nije dobro razvijena, svejedno je mogude otkriti je li baza
mijenjana. Baze podataka sadrže log datoteke u koje upisuju informacije o
aktivnostima koje se događaju. Forenzičkom analizom nad log datotekama
možemo saznati tko, kad i odakle je radio neke ne dopuštene stvari s bazom
podataka. U bazi podataka ima mnogo mjesta gdje se trenutno spremaju dijelovi
podataka i koristedi te podatke te log datoteke možemo otkriti aktivnosti iz
prošlosti i rekonstruirati izbrisane podatke. Kako je cyber kriminal u porastu,
budučnost rješavanja kriminalnih slučajeva leži upravo u računalnoj forenzici i
potrebno je uložiti u njezin razvoj.
6. Literatura
I. Towards a Forensic-Aware Database Solution: Using a secured Database Replication Protocol
and Transaction Management for Digital Investigations Peter Fruhwirta , Peter Kieseberga ,
Katharina Krombholza , Edgar Weippla
II. On The Role of Log Based Metadata in Forensic Analysis of Database Attacks: Shraddha Suratkar,
Harmeet Khanuja
III. Database Forensic Analysis Using Log Files: Mr. Jitendra R Chavan, Prof. Harmeet Kaur Khanuja
IV. Digital Evidence for Database Tamper Detection: Shweta Tripathi , Bandu Baburao Meshram
V. A Workflow to Support Forensic Database Analysis: Rojesh Susaimanickam
VI. Računalna forenzika, CERT
VII. Detecting Database Attacks Using Computer Forensics Tools- GRADUATE PROJECT TECHNICAL
REPORT: Farhath Fatima