Jindřich Hlavatý Sojovická 321/33, 289 22 Lysá nad Labem tel. 312 310 061, fax. 312 310 062 IČO: 71729411 DIČ: CZ7012030487 E-mail: hlavaty@infosecur.cz Web: www.infosecur.cz Analýza PC Technická zpráva Zadavatel: Michal TUČEK Městská část Praha 5List č. 1 z 5 Štefánikova 236/13, 246/15 Zpracovatel: Jindřich Hlavatý Sojovická 321/33 289 22 Lysá nad Labem tel. +420 776 166 833 fax +420 608 292 283 IČ: 717 29 411 DIČ. CZ7012030487 Bankovní spojení: RaiffeisenBank a.s., Hvězdova 1716/2b, 140 78 Praha 4 číslo účtu: 2307915001 / 5500
1. ÚVOD Dne 22. března 2009 v cca 10:00hod 11:30hod byla provedena, na základě objednávky pana Michala Tučka, kontrola stanice osobního počítače uživatele m.tucek na adrese Městská část Praha 5, Štefánikova 236/13, 246/15 z hlediska programového vybavení tohoto osobního počítače a bezpečnosti obsažených dat. Analýza byla provedena za použití metod a postupů obvyklých a uznávaných pro provádění forenzních analýz výpočetní techniky. 2. VLASTNÍ ZJIŠTĚNÍ 2.1. VNC Po zahájení detekce bylo zjištěno, že se jedná o stanici s instalovaným operačním systémem Microsoft Windows XP Professional Service Pack 3. Po analýze probíhajících procesů na pozadí operačního systému (Správce procesů operačního systému, Process Explorer - Sys internals suite tools a vlastní analytické software nástroje) byl zjištěn naslouchající server VNC Virtual network computing ve verzi 1.4.0.0 - viz. screenshot, v dále uvedené konfiguraci. [HKEY_CURRENT_USER\Software\ORL\WinVNC3] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "QueryTimeout"=dword:0000001e List č. 2 z 5
"IdleTimeout"=dword:00000000 "Password"=hex:e1,76,5b,d4,78,2c,af,ab "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000000 "OnlyPollOnEvent"=dword:00000000 "AuthHosts"="+172.16" // povolený přístup z IP adres tohoto rozsahu cela síť MČ [HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3] "AuthRequired"=dword:00000001 "AuthHosts"="+172.16" "DisableTrayIcon"=dword:00000001 // skryj ikonu v liště = neviditelný mód [HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "QueryTimeout"=dword:0000001e "IdleTimeout"=dword:00000000 "Password"=hex:e1,76,5b,d4,78,2c,af,ab "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000000 "OnlyPollOnEvent"=dword:00000000 2.2. KEY LOGGER Nástrojem Rootkit Revealer byly detekovány níže uvedené problémové klíče v registrech. Jedná se o virtuální ovladače zařízení, kdy po ověření ve veřejně dostupných zdrojích bylo zjištěno, že se jedná s nejvyšší pravděpodobností o SW ELITE KEYLOGGER. HKLM\SYSTEM\ControlSet001\Services\drmknt HKLM\SYSTEM\ControlSet001\Services\epfwtd2k HKLM\SYSTEM\ControlSet001\Services\mnmddex 3. ZÁVĚR List č. 3 z 5
VNC je aplikace, která umožňuje vzdálené připojení ke grafickému uživatelskému rozhraní tedy viditelnému obsahy pracovní plochy (GUI) pomocí počítačové sítě. VNC pracuje jako klient-server. Server vytváří grafickou plochu v operační paměti počítače a komunikuje přes síť s klientem, který plochu zobrazuje uživateli. Server je nainstalován na pracovní stanici nebo serveru a startuje obvykle jako služba (service) se startem operačního systému, tedy nezávisle na vůli uživatele. Klienta (výstupy ze sledování) je možné instalovat nebo kopírovat na libovolné PC. List č. 4 z 5 VNC sice podporuje omezení rozsahu sítě, ze které je možné se ke vzdálené stanici připojovat. Tímto nastavením je možné omezit připojení ke vzdálené stanici pouze z lokální sítě, např. jen pro IT Specialisty.List č. 4 z 5 V případě zkoumané stanice však byl nastaven celý rozsahu lokální sítě a tudíž se ke vzdálené stanici přihlásit kdokoliv, kdo zná heslo nebo je ho schopen odposlechnout nebo odhadnout. Pro připojení k serverové části je nutné znát heslo, které se nastaví při instalaci. Heslo však nemusí splňovat žádné podmínky na svou kvalitu. Heslo je při autentizaci klienta k serveru přenášeno jako prostý text, a proto je možné ho odposlechnout a tím kompromitovat. K tomuto faktu přispívá též obecná známost komunikačních portů VNC verze 1.4.0.0, která nepodporuje šifrování přenosu, a proto je v tomto směru zranitelná. Serverová část programu, tedy zprostředkovatel vzdáleného připojení ke stanici může být nastavena v několika režimech práce. Po připojení klienta může vzdálený uživatel pouze pozorovat činnost uživatele u PC nebo může zároveň zadávat vstupy z klávesnice a myši a ovládat tak PC na dálku. Třetím režimem je možnost zakázat po připojení klienta vstupy lokálního PC. Pomocí vzdáleného připojení je rovněž možné přenášet obsahlist č. 4 z 5 schránky (clippboard) tedy skrytě vynášet data z počítače. Zkoumaná stanice měla takové nastavení serverové části VNC, které skrylo pro uživatele ikonu (grafickou reprezentaci) přítomnosti VNC na jeho PC. Pokud tato ikona není zobrazena, uživatel nemá možnost zjistit přítomnost takového SW a způsob jeho užití. Vzdálený uživatel měl tedy neomezenou moc nad tímto PC lokálního uživatele a může nerušeně sledovat jeho činnost. V případě sledované stanice nebyl o připojování vzdálenlist č. 4 z 5ého uživatele vytvářen log soubor - neexistuje tedy na žádný důkaz o četnosti, termínech spojení jejich trvání. Z povahy fungování a určení SW VNC vyplývá, že je používán jako nástroj pro vzdálenou správu PC pro IT Specialisty. Uživatel by měl být o této činnosti informován a tato činnost by měla být přísně řízena. Měla by podléhat jasné autorizaci a odpovědnosti už jen z hlediska ochrany soukromí a ochrany listovního tajemství. Uživatel stanice, pan Michal Tuček, však o instalaci takového SW nebyl nikým informován. List č. 4 z 5
Z hlediska zjištění instalovaného SW ELITE KEYLOGGER je možné konstatovat, že se jedná o nebezpečný monitorovací software, jehož tajné moduly zaznamenávají např. obsah chatu, emailů, všechny klávesové zkratky, hesla, aktivitu na ploše, schránku a mnoho dalších aktivit uživatele na PC. Principem fungování tohoto SW je zaznamenávání stisku kláves v určitém čase. V případě analyzovaného osobního počítače, tedy kombinace SW VNC a ELLITE KEYLOGGER má pak osoba, disponující výstupy z obou těchto aplikací, naprosto detailní informace o zadávaných heslech a dalších informacích zadávaných na této pracovní stanici. V Praze dne 24. března 2009 Zpracoval: Bc. Jindřich Hlavatý List č. 5 z 5