экспертиза веб-браузеров, часть 1
Электронные улики часто решали исход громких гражданских дел и уголовных расследований, начиная с кражи интеллектуальной собственности и заканчивая неправильным поведением сотрудников компаний с последующим их увольнением. Часто компрометирующую информацию находят в истории веб-браузера в виде полученных и отправленных электронных сообщений, посещенных сайтов и предпринятых поисках в поисковых механизмах. Эта статья в двух частях представит вам методы и инструменты, используемые компьютерными судебными экспертами для обнаружения подобных улик, через выдуманное расследование, близкое по содержанию к настоящим жизненным ситуациям.
Во время чтения этой статьи вы можете следить за расследованием и анализировать данные по делу. Чтобы активно участвовать в расследовании, вам требуется скачать соответствующие данные о сетевой активности из архивов SecurityFocus -http://downloads.securityfocus.com/downloads/JSchmo-InternetActivity.zip.
данные по делу
В 20:25, 18 марта 2005 года старший сотрудник престижной юридической фирмы закончил черновой вариант контракта о купле-продаже собственности для своего клиента, но не смог загрузить документ на центральный сервер фирмы, работающий на базе Docustodian, Inc. Его попытки загрузить файл сопровождались сообщением об ошибке: «Вы достигли лимита на загрузку. Пожалуйста, обратитесь к вашему системному администратору». Старший сотрудник выполнил это требование, позвонив Джо Чмо (Joe Schmo), IT-администратору фирмы. Однако автоответчик Джо сообщил, что он находится в отпуске с 7 по 21 марта, 2005 года.
Это не было единичным случаем. Внутренняя ревизия показала, что более 500 Гб MP3-музыки, пиратского программного обеспечения и недавно вышедших фильмов хранились на сервере под профилем Джо Чмо. После обнаружения факта потенциального вторжения, юридическая фирма сделала заключение, что расследование не входит в компетенцию их IT-отдела, и обратились к профессионалам одной security-фирмы.
расследование
Во время большинства расследований анализ истории активности пользователя в сети часто дает некоторые зацепки. В этом расследовании мы начнем анализ с восстановления Интернет активности системного администратора Джо Чмо, чтобы развеять или подтвердить наши подозрения. В нашем расследовании мы будем использовать набор коммерческих и открытых инструментов для анализа данных этого инцидента. Мы посмотрим на их возможности, разберемся в их использовании и в информации, которую они нам предоставляют.
форматы файлов активности в Интернете
Два доминирующих веб-браузера, с которыми мы сталкиваемся в расследованиях, являются Microsoft’s Internet Explorer (IE) и семейство Firefox/Mozilla/Netscape. Все эти браузеры сохраняют историю активности пользователя в сети в своих уникальных форматах. Мы выделим форматы файлов и их пути для IE и Firefox/Mozilla/Netscape, чтобы увеличить шансы зацепок.
Microsoft’s Internet Explorer. IE по умолчанию установлен на новых машинах с ОС Windows и используется большинством частных и корпоративных обладателей компьютеров. IE хранит историю активности каждого пользователя под их собственным профилем. Так как Джо пользовался системой Microsoft Windows версии выше Windows 2000, его активность находится в следующей директории: C:\Documents and Settings\jschmo\Local Settings\Temporary Internet Files\Content.IE5\.
Вышеуказанная директория хранит кэшируемые страницы и изображения, которые Джо просматривал. В директории Content.IE5 существуют дополнительные поддиректории со случайными именами, содержащие кэшируемые данные, которые просматривал Джо. IE хранит эти данные для того, чтобы Джо не загружал их при повторном посещении.
Следует отметить, что есть еще две дополнительные директории, представляющие для нас интерес. Первая содержит активность пользователя без кэшированного веб-контента: C:\Documents and Settings\jschmo\Local Settings\History\History.IE5\. Под этой директорией существуют дополнительные поддиректории, указывающие дни, в которые IE сохранял информацию. Последняя директория содержит файлы cookie для IE: C:\Documents and Settings\jschmo\Cookies\.
Эксперт обычно просмотрит все три места в поисках данных об активности пользователя в сети. Отметим, что пользователь по некоторым причинам может умышленно очистить эти директории. Также, определенный вид программного обеспечения устанавливается на компьютере для периодического удаления файлов, находящихся в этих директориях. Но это не значит, что информация перестает быть доступной. Во второй части нашей статьи мы обсудим, что следует делать, чтобы найти эти файлы. Пока будем считать, что данные существуют. Если мы зайдем в любую из вышеперечисленных директорий, то найдем файл Index.dat. Этот файл содержит историю активности в Интернете для каждого раздела. В директории с кэшированными веб- страницами этот файл более насыщен информацией, чем в других разделах, хотя внутренняя файловая структура у них одинаковая. Чтобы реконструировать посещенную страницу, операционная система должна найти соответствующую локальную ыеб-страницу и адрес страницы в Интернете. Их взаимосвязь как раз и описана в файле Index.dat. Мы восстановим историю путешествий Джо в Интернете, используя подобную методику. Директория Content.IE5 будет наиболее полезной для нас при восстановлении, потому что мы сможем просмотреть те же страницы, что и Джо, через их кэшированные копии.
Файл Index.dat сохраняется в двоичном формате, официально известном только Microsoft’у. Однако, следующий документ описывает некоторые внутренние структуры данных, которые помогут вам восстановить файл вручную.
Семейство Firefox/Mozilla/Netscape. Firefox/Mozilla/Netscape и подобные им браузеры также сохраняют активность пользователя в Интернете схожим с IE способом. Они сохраняют историю в файле history.dat. Главное отличие файлов history.dat и index.dat в том, что history.dat сохраняется в ASCII-формате, а не в двоичном. Это облегчает просмотр файла в отличие от файла IE. Вторым существенным отличием является то, что history.dat не связывает кэшированные страницы с их адресами в Интернете. Поэтому мы не можем сразу узнать, какие страницы посетил Джо, в отличие от IE. Файлы Firefox расположены в следующей директории: \Documents and Settings\Application Data\Mozilla\Firefox\Profiles\<произвольный текст>\history.dat.
Файлы Mozilla/Netscape находятся тут: \Documents and Settings\Application Data\Mozilla\Profiles\<произвольный текст>\history.dat.
Процесс ручного восстановления активности пользователя может показаться нудным. К счастью, уже существуют несколько инструментов, как коммерческих так и бесплатных, значительно ускоряющих этот процесс. Пожалуйста, посмотрите файлы, которые вы скачали в введении к этой статье, и используйте инструменты, которые здесь упоминаются, для анализа данных.
инструменты с открытым исходным кодом
Pasco– консольное приложение, работающее на Unix и Windows системах, способное восстановить структуру файлов Index.dat. Pasco принимает файл, восстанавливает данные и выводит обработанный текст в файл. Его формат удобен для последующего импорта в электронные таблицы, типа Microsoft Excel.
Pasco показывает, что IE сохраняет следующие поля с веб-сайта в Index.dat:
- тип записи – Pasco отмечает посещение либо как адрес, введенный в браузере, либо как перенаправление с другого сайта;
- адрес (URL) и название посещенного сайта;
- время изменения;
- время доступа – момент времени, когда пользователь просмотрел страницу;
- имя файла – локальный файл, содержащий копию указанной страницы;
- директория – локальная директория, содержащая вышеописанный файл;
- HTTP-заголовки – HTTP-заголовки, полученные пользователем при просмотре страницы.
Для каждой строки в таблице вы можете найти и открыть файл из соответствующих полей «Имя файла» и «Директория», чтобы воссоздать увиденное Джо на веб-странице в определенное время.
Хотя Pasco успешно справляется с файлами истории активности IE, он не может восстановить информацию из файлов других браузеров, таких как Firefox/Mozilla/Netscape.
Web Historian.Этот бесплатный инструмент от Red Cliff способен просматривать структуру директорий на наличие файлов истории активности для следующих браузеров:
- Internet Explorer;
- Mozilla;
- Firefox;
- Netscape;
- Opera;
- Safari (Apple OS X).
Это значит, что следователю не нужно запоминать пути к файлам истории для каждого браузера. Web Historian также способен выводить информации в следующих форматах:
- таблица Excel;
- HTML;
- разграниченный текстовый файл.
анализ истории активности
Имея полученную информацию о действиях Джо в Интернете, можно начать рассматривать посещенные им веб-страницы. Во время этого анализа мы будем рассматривать только информацию, относящуюся к расследованию, так как во время путешествий по Интернету просматривается много несущественной информации, замедляющей работу эксперта.
Мы видим, что Джо посещал Hotmail.com. Web Historian показывает, что в результате посещения Hotmail был создан файл 8R9KCL4N\HoTMaiL[1].htm. Если мы откроем этот кэшированный файл, то увидим следующую страницу, которую загружал Джо. В верхней части страницы видно, что учетная запись Джо – JoeSchmo1980@hotmail.com. Также видно, что во время его посещения у него не было никаких интересных писем в почтовом ящике.
Затем Джо посещал Barnes&Noble. Кажется, что он заинтересован в книгах по взлому. Есть еще несколько подтверждений тому, что Джо искал подобную информацию по взлому веб-сайтов - Джо посещал страницы, содержащие материалы по несанкционированному доступу. Также из восстановленных страниц мы получили информацию, что Джо ищет способы взлома Docustodian, программы, обслуживающей центральный сервер фирмы.
Из всего показанного выше можно сделать вывод, что Джо или кто-то, использующий его учетную запись, ищет способы обхода лицензионной политики Docustodian. Однако среднее время посещения большинства страниц примерно 17:50, а дата - 10 марта, 2005 г. Важно помнить, что Джо был в отпуске с 7 по 21 марта. Вряд ли Джо посещал эти сайты, загорая на пляже во Флориде. Требуется более тщательный анализ компьютера Джо, чтобы точно узнать, каким образом был получен доступ к этим сайтам.
коммерческие инструменты
Есть несколько платных инструментов, с помощью которых мы проанализируем активность Джо в Интернете так же, как мы это делали с помощью бесплатных. Хотя мы уже исследовали интересующие нас действия Джо, мы рассмотрим некоторые отличия в работе, а также другие сайты, которые посетила учетная запись Джо.
IE History.IE History был одним из первых инструментов восстановления событий в Интернете, распространяемых на коммерческой основе. IE History – это приложение Windows, читающее несколько форматов файлов истории активности, включая IE и Firefox/Mozilla/Netscape. IE History занимает мало места и легко выводит информацию об активности пользователя в Интернете в таблицы и разграниченные текстовые файлы.
После того, как IE History разберет файл Index.dat, он предоставляет набор функций, облегчающих анализ информации. Например, можно кликнуть правой кнопкой мыши и выбрать «Go to URL», чтобы быстро открыть браузер и посетить сайт, где был Джо. Следует отметить, что IE History не связывает посещенные адреса с соответствующими кэшированными файлами. Так что при посещении страницы через «Go to URL» вы будете видеть ее настоящую версию, то есть вы можете увидеть страницу, отличную от той, которую посетил Джо.
Forensic Tool Kit (FTK)не уступает по функциональности перечисленным выше инструментам. Среди всех коммерческих продуктов он получает наивысшие рекомендации, взять хотя бы простоту использования. С помощью FTK вы можете просматривать кэшированные страницы в интерфейсе, подобном браузеру.
Продолжая исследование, мы выяснили, что Джо интересовался отелями в Sao Paulo. Так как нам известно, что в данный момент Джо находился во Флориде со своей семьей, очень маловероятно, что он был виновником инцидента.
FTK сравнительно лучше восстанавливает и отображает посещенные страницы. Единственным недостатком FTK является восстановление файла Index.dat. FTK восстанавливает его в неудобном для пользования формате. Каждый случай активности представлен в виде отдельной таблицы, причем информацию нельзя выделять, что делает невозможным экспорт данных.
заключение первой части
В заключение мы можем предположить, что Джо не являлся пользователем учетной записи, когда происходила несанкционированная деятельность на сервере фирмы. Это исходит от того, что большая часть деятельности проходила во время его нахождения в отпуске. Однако поиски информации по взлому и методов обхода лицензионной политики свидетельствуют о неправомерном доступе к серверу постороннего. Кто это мог быть? Кто имел доступ к компьютеру Джо, пока он был в отпуске? В следующей части статьи мы постараемся решить задачу, тщательно обследовав жесткий диск Джо, а также активность браузеров, установленных на других системах.
Keith J. Jones и Rohyt Belani, перевод Security Lab.
Во время чтения этой статьи вы можете следить за расследованием и анализировать данные по делу. Чтобы активно участвовать в расследовании, вам требуется скачать соответствующие данные о сетевой активности из архивов SecurityFocus -http://downloads.securityfocus.com/downloads/JSchmo-InternetActivity.zip.
данные по делу
В 20:25, 18 марта 2005 года старший сотрудник престижной юридической фирмы закончил черновой вариант контракта о купле-продаже собственности для своего клиента, но не смог загрузить документ на центральный сервер фирмы, работающий на базе Docustodian, Inc. Его попытки загрузить файл сопровождались сообщением об ошибке: «Вы достигли лимита на загрузку. Пожалуйста, обратитесь к вашему системному администратору». Старший сотрудник выполнил это требование, позвонив Джо Чмо (Joe Schmo), IT-администратору фирмы. Однако автоответчик Джо сообщил, что он находится в отпуске с 7 по 21 марта, 2005 года.
Это не было единичным случаем. Внутренняя ревизия показала, что более 500 Гб MP3-музыки, пиратского программного обеспечения и недавно вышедших фильмов хранились на сервере под профилем Джо Чмо. После обнаружения факта потенциального вторжения, юридическая фирма сделала заключение, что расследование не входит в компетенцию их IT-отдела, и обратились к профессионалам одной security-фирмы.
расследование
Во время большинства расследований анализ истории активности пользователя в сети часто дает некоторые зацепки. В этом расследовании мы начнем анализ с восстановления Интернет активности системного администратора Джо Чмо, чтобы развеять или подтвердить наши подозрения. В нашем расследовании мы будем использовать набор коммерческих и открытых инструментов для анализа данных этого инцидента. Мы посмотрим на их возможности, разберемся в их использовании и в информации, которую они нам предоставляют.
форматы файлов активности в Интернете
Два доминирующих веб-браузера, с которыми мы сталкиваемся в расследованиях, являются Microsoft’s Internet Explorer (IE) и семейство Firefox/Mozilla/Netscape. Все эти браузеры сохраняют историю активности пользователя в сети в своих уникальных форматах. Мы выделим форматы файлов и их пути для IE и Firefox/Mozilla/Netscape, чтобы увеличить шансы зацепок.
Microsoft’s Internet Explorer. IE по умолчанию установлен на новых машинах с ОС Windows и используется большинством частных и корпоративных обладателей компьютеров. IE хранит историю активности каждого пользователя под их собственным профилем. Так как Джо пользовался системой Microsoft Windows версии выше Windows 2000, его активность находится в следующей директории: C:\Documents and Settings\jschmo\Local Settings\Temporary Internet Files\Content.IE5\.
Вышеуказанная директория хранит кэшируемые страницы и изображения, которые Джо просматривал. В директории Content.IE5 существуют дополнительные поддиректории со случайными именами, содержащие кэшируемые данные, которые просматривал Джо. IE хранит эти данные для того, чтобы Джо не загружал их при повторном посещении.
Следует отметить, что есть еще две дополнительные директории, представляющие для нас интерес. Первая содержит активность пользователя без кэшированного веб-контента: C:\Documents and Settings\jschmo\Local Settings\History\History.IE5\. Под этой директорией существуют дополнительные поддиректории, указывающие дни, в которые IE сохранял информацию. Последняя директория содержит файлы cookie для IE: C:\Documents and Settings\jschmo\Cookies\.
Эксперт обычно просмотрит все три места в поисках данных об активности пользователя в сети. Отметим, что пользователь по некоторым причинам может умышленно очистить эти директории. Также, определенный вид программного обеспечения устанавливается на компьютере для периодического удаления файлов, находящихся в этих директориях. Но это не значит, что информация перестает быть доступной. Во второй части нашей статьи мы обсудим, что следует делать, чтобы найти эти файлы. Пока будем считать, что данные существуют. Если мы зайдем в любую из вышеперечисленных директорий, то найдем файл Index.dat. Этот файл содержит историю активности в Интернете для каждого раздела. В директории с кэшированными веб- страницами этот файл более насыщен информацией, чем в других разделах, хотя внутренняя файловая структура у них одинаковая. Чтобы реконструировать посещенную страницу, операционная система должна найти соответствующую локальную ыеб-страницу и адрес страницы в Интернете. Их взаимосвязь как раз и описана в файле Index.dat. Мы восстановим историю путешествий Джо в Интернете, используя подобную методику. Директория Content.IE5 будет наиболее полезной для нас при восстановлении, потому что мы сможем просмотреть те же страницы, что и Джо, через их кэшированные копии.
Файл Index.dat сохраняется в двоичном формате, официально известном только Microsoft’у. Однако, следующий документ описывает некоторые внутренние структуры данных, которые помогут вам восстановить файл вручную.
Семейство Firefox/Mozilla/Netscape. Firefox/Mozilla/Netscape и подобные им браузеры также сохраняют активность пользователя в Интернете схожим с IE способом. Они сохраняют историю в файле history.dat. Главное отличие файлов history.dat и index.dat в том, что history.dat сохраняется в ASCII-формате, а не в двоичном. Это облегчает просмотр файла в отличие от файла IE. Вторым существенным отличием является то, что history.dat не связывает кэшированные страницы с их адресами в Интернете. Поэтому мы не можем сразу узнать, какие страницы посетил Джо, в отличие от IE. Файлы Firefox расположены в следующей директории: \Documents and Settings\Application Data\Mozilla\Firefox\Profiles\<произвольный текст>\history.dat.
Файлы Mozilla/Netscape находятся тут: \Documents and Settings\Application Data\Mozilla\Profiles\<произвольный текст>\history.dat.
Процесс ручного восстановления активности пользователя может показаться нудным. К счастью, уже существуют несколько инструментов, как коммерческих так и бесплатных, значительно ускоряющих этот процесс. Пожалуйста, посмотрите файлы, которые вы скачали в введении к этой статье, и используйте инструменты, которые здесь упоминаются, для анализа данных.
инструменты с открытым исходным кодом
Pasco– консольное приложение, работающее на Unix и Windows системах, способное восстановить структуру файлов Index.dat. Pasco принимает файл, восстанавливает данные и выводит обработанный текст в файл. Его формат удобен для последующего импорта в электронные таблицы, типа Microsoft Excel.
Pasco показывает, что IE сохраняет следующие поля с веб-сайта в Index.dat:
- тип записи – Pasco отмечает посещение либо как адрес, введенный в браузере, либо как перенаправление с другого сайта;
- адрес (URL) и название посещенного сайта;
- время изменения;
- время доступа – момент времени, когда пользователь просмотрел страницу;
- имя файла – локальный файл, содержащий копию указанной страницы;
- директория – локальная директория, содержащая вышеописанный файл;
- HTTP-заголовки – HTTP-заголовки, полученные пользователем при просмотре страницы.
Для каждой строки в таблице вы можете найти и открыть файл из соответствующих полей «Имя файла» и «Директория», чтобы воссоздать увиденное Джо на веб-странице в определенное время.
Хотя Pasco успешно справляется с файлами истории активности IE, он не может восстановить информацию из файлов других браузеров, таких как Firefox/Mozilla/Netscape.
Web Historian.Этот бесплатный инструмент от Red Cliff способен просматривать структуру директорий на наличие файлов истории активности для следующих браузеров:
- Internet Explorer;
- Mozilla;
- Firefox;
- Netscape;
- Opera;
- Safari (Apple OS X).
Это значит, что следователю не нужно запоминать пути к файлам истории для каждого браузера. Web Historian также способен выводить информации в следующих форматах:
- таблица Excel;
- HTML;
- разграниченный текстовый файл.
анализ истории активности
Имея полученную информацию о действиях Джо в Интернете, можно начать рассматривать посещенные им веб-страницы. Во время этого анализа мы будем рассматривать только информацию, относящуюся к расследованию, так как во время путешествий по Интернету просматривается много несущественной информации, замедляющей работу эксперта.
Мы видим, что Джо посещал Hotmail.com. Web Historian показывает, что в результате посещения Hotmail был создан файл 8R9KCL4N\HoTMaiL[1].htm. Если мы откроем этот кэшированный файл, то увидим следующую страницу, которую загружал Джо. В верхней части страницы видно, что учетная запись Джо – JoeSchmo1980@hotmail.com. Также видно, что во время его посещения у него не было никаких интересных писем в почтовом ящике.
Затем Джо посещал Barnes&Noble. Кажется, что он заинтересован в книгах по взлому. Есть еще несколько подтверждений тому, что Джо искал подобную информацию по взлому веб-сайтов - Джо посещал страницы, содержащие материалы по несанкционированному доступу. Также из восстановленных страниц мы получили информацию, что Джо ищет способы взлома Docustodian, программы, обслуживающей центральный сервер фирмы.
Из всего показанного выше можно сделать вывод, что Джо или кто-то, использующий его учетную запись, ищет способы обхода лицензионной политики Docustodian. Однако среднее время посещения большинства страниц примерно 17:50, а дата - 10 марта, 2005 г. Важно помнить, что Джо был в отпуске с 7 по 21 марта. Вряд ли Джо посещал эти сайты, загорая на пляже во Флориде. Требуется более тщательный анализ компьютера Джо, чтобы точно узнать, каким образом был получен доступ к этим сайтам.
коммерческие инструменты
Есть несколько платных инструментов, с помощью которых мы проанализируем активность Джо в Интернете так же, как мы это делали с помощью бесплатных. Хотя мы уже исследовали интересующие нас действия Джо, мы рассмотрим некоторые отличия в работе, а также другие сайты, которые посетила учетная запись Джо.
IE History.IE History был одним из первых инструментов восстановления событий в Интернете, распространяемых на коммерческой основе. IE History – это приложение Windows, читающее несколько форматов файлов истории активности, включая IE и Firefox/Mozilla/Netscape. IE History занимает мало места и легко выводит информацию об активности пользователя в Интернете в таблицы и разграниченные текстовые файлы.
После того, как IE History разберет файл Index.dat, он предоставляет набор функций, облегчающих анализ информации. Например, можно кликнуть правой кнопкой мыши и выбрать «Go to URL», чтобы быстро открыть браузер и посетить сайт, где был Джо. Следует отметить, что IE History не связывает посещенные адреса с соответствующими кэшированными файлами. Так что при посещении страницы через «Go to URL» вы будете видеть ее настоящую версию, то есть вы можете увидеть страницу, отличную от той, которую посетил Джо.
Forensic Tool Kit (FTK)не уступает по функциональности перечисленным выше инструментам. Среди всех коммерческих продуктов он получает наивысшие рекомендации, взять хотя бы простоту использования. С помощью FTK вы можете просматривать кэшированные страницы в интерфейсе, подобном браузеру.
Продолжая исследование, мы выяснили, что Джо интересовался отелями в Sao Paulo. Так как нам известно, что в данный момент Джо находился во Флориде со своей семьей, очень маловероятно, что он был виновником инцидента.
FTK сравнительно лучше восстанавливает и отображает посещенные страницы. Единственным недостатком FTK является восстановление файла Index.dat. FTK восстанавливает его в неудобном для пользования формате. Каждый случай активности представлен в виде отдельной таблицы, причем информацию нельзя выделять, что делает невозможным экспорт данных.
заключение первой части
В заключение мы можем предположить, что Джо не являлся пользователем учетной записи, когда происходила несанкционированная деятельность на сервере фирмы. Это исходит от того, что большая часть деятельности проходила во время его нахождения в отпуске. Однако поиски информации по взлому и методов обхода лицензионной политики свидетельствуют о неправомерном доступе к серверу постороннего. Кто это мог быть? Кто имел доступ к компьютеру Джо, пока он был в отпуске? В следующей части статьи мы постараемся решить задачу, тщательно обследовав жесткий диск Джо, а также активность браузеров, установленных на других системах.
Keith J. Jones и Rohyt Belani, перевод Security Lab.
Сетевые решения. Статья была опубликована в номере 08 за 2005 год в рубрике save ass…
