فارنزیک دیجیتال (Digital Forensics) شاخهای از امنیت سایبری است که به بررسی، جمعآوری و تحلیل شواهد دیجیتالی میپردازد. هدف اصلی فارنزیک دیجیتال، بازسازی رخدادهای سایبری و ارائه شواهد معتبر به مراجع قضایی است. به عبارت سادهتر، فارنزیک دیجیتال مثل پلیسی است که در صحنه جرم (کامپیوتر یا شبکه) دنبال سرنخها میگردد تا ببیند چه اتفاقی افتاده، چه کسی مسئول بوده و چگونه این جرم صورت گرفته است.
مراحل فارنزیک دیجیتال
- شناسایی (Identification)
- تشخیص اینکه کدام دستگاهها یا سرویسها درگیر حادثه امنیتی بودهاند و چه دادههایی ممکن است به عنوان شواهد استفاده شوند.
- جمعآوری شواهد (Acquisition)
- تهیه کپی کامل از دادهها (Image) برای جلوگیری از تغییر شواهد اصلی.
- استفاده از ابزارهای تخصصی برای کپی بیتبهبیت از هارد، حافظه، یا سایر رسانههای دیجیتال.
- تحلیل (Analysis)
- جستجو در فایلها، لاگها، سوابق اتصالها، و ایمیلها برای یافتن نشانههای حمله یا سوءاستفاده.
- استفاده از ابزارهای تخصصی برای بازیابی اطلاعات حذف شده یا رمزگذاری شده.
- مستندسازی (Documentation)
- ثبت تمام مراحل و ابزارهای استفاده شده، برای اینکه شواهد در دادگاه معتبر باشند.
- یادداشت تغییراتی که در طول فرآیند تحلیل رخ داده است.
- ارائه گزارش (Presentation)
- تهیه گزارش نهایی برای مراجع قضایی یا مدیران سازمان.
- بیان یافتهها به زبانی قابل درک برای افراد غیرمتخصص.
ابزارهای فارنزیک دیجیتال
- Autopsy/The Sleuth Kit
- Autopsy یک رابط کاربری گرافیکی برای مجموعه ابزار The Sleuth Kit است.
- قابلیت تحلیل فایل سیستم، بازیابی فایلهای حذفشده، و بررسی متادیتا.
- EnCase
- یک ابزار تجاری و جامع برای جمعآوری و تحلیل شواهد دیجیتالی.
- در بسیاری از سازمانهای امنیتی و دولتی استفاده میشود.
- FTK (Forensic Toolkit)
- یک ابزار تجاری دیگر برای ایمجگیری، تحلیل بدافزار، و بررسی فایلهای حذف شده.
- قابلیت بازیابی رمز عبور از برخی فایلها و آرشیوهای رمزگذاری شده.
- Wireshark
- برای تحلیل ترافیک شبکه.
- شناسایی حملات شبکهای، شنود ترافیک، و بررسی پکتهای مشکوک.
- Volatility
- ابزاری برای تحلیل حافظه (RAM) و شناسایی فعالیتهای مشکوک یا بدافزارهای مخفی.
- استخراج فرآیندها، سشنهای شبکه، و محتویات حافظه.
- Binwalk
- برای تحلیل فایلهای باینری و شناسایی ساختارهای داخلی.
- قابل استفاده در بررسی سیستمعاملهای نهفته (IoT).
- hashdeep
- محاسبه و تطبیق هش فایلها برای تشخیص تغییرات یا دستکاریها.
- Bulk Extractor
- استخراج الگوهایی مانند شماره کارت اعتباری، آدرس ایمیل، و رشتههای حساس از فایلها یا دیسکها.
توزیعهای لینوکسی برای فارنزیک
- Kali Linux
- شهرت بیشتری در تست نفوذ دارد، اما ابزارهای فارنزیک مانند Autopsy و Volatility را نیز در خود دارد.
- Parrot Security OS
- مشابه Kali، اما ابزارهای بیشتری برای فارنزیک و تحلیل بدافزار دارد.
- CAINE (Computer Aided INvestigative Environment)
- به طور ویژه برای فارنزیک طراحی شده است.
- شامل ابزارهایی مثل Autopsy، TSK، و Wireshark با تنظیمات از پیش پیکربندی شده.
- DEFT Linux
- یک توزیع محبوب دیگر برای فارنزیک دیجیتال و تحلیل بدافزار.
- SIFT Workstation (Sans Investigative Forensic Toolkit)
- توسط موسسه SANS ارائه شده است و مجموعه کاملی از ابزارهای تخصصی فارنزیک را داراست.
مثال کاربردی: بررسی لاگها
فرض کنید در یک شرکت، ترافیک نامعمولی از سرور وب گزارش شده است و احتمال نفوذ وجود دارد. مراحل اولیه فارنزیک ممکن است به این صورت باشد:
- جمعآوری شواهد
- لاگهای وبسرور (مثلاً Apache Access Logs در مسیر
/var/log/apache2/access.log
) را جمعآوری کنید. - لاگهای سیستم (syslog) در مسیر
/var/log/syslog
یا/var/log/messages
.
- لاگهای وبسرور (مثلاً Apache Access Logs در مسیر
- بررسی اولیه
- با یک دستور ساده مثل زیر میتوان به دنبال عبارتهای مشکوک در لاگها گشت:
grep -i "error" /var/log/apache2/access.log
- همچنین میتوان از ابزارهایی مانند GoAccess برای تحلیل آمار لاگها استفاده کرد.
3.شناسایی رفتار مشکوک
- ممکن است در لاگها درخواستهای مکرر از یک IP ناشناس یا تلاش برای دسترسی به مسیرهای غیرمجاز (مانند
/admin
یاlogin.php
) دیده شود.
4.تحلیل دقیقتر
- با استفاده از Wireshark یا ابزارهای مشابه میتوان بستههای شبکه را بررسی کرد و فهمید چه درخواستهایی ارسال شده است.
- اگر فرضاً لاگ نشان میدهد که کاربر یک فایل
shell. php
در مسیر/uploads/
آپلود کرده، باید آن فایل را بررسی کرد که آیا یک شل مخرب است یا نه.
5.مستندسازی
- همهی یافتهها را در یک گزارش مختصر بنویسید.
- اشاره کنید که هکر چه مسیرهایی را برای نفوذ انتخاب کرده، از چه روشی استفاده شده، و چه فایلهایی آپلود شده است.
جمعبندی
فارنزیک دیجیتال ابزاری حیاتی در کشف و بررسی حوادث امنیت سایبری است. با داشتن یک روش سیستماتیک (شناسایی، جمعآوری، تحلیل، مستندسازی، ارائه گزارش) و استفاده از ابزارهای تخصصی مانند Autopsy، EnCase، Wireshark یا Volatility، میتوان شواهد مطمئنی برای شناسایی هکرها و بازیابی حقایق ارائه کرد.
توزیعهای لینوکس مانند CAINE، Kali Linux، یا SIFT Workstation، انجام فارنزیک را آسانتر میکنند؛ چرا که مجموعه گستردهای از ابزارهای فارنزیک از پیش نصب شدهاند.
در نهایت، یکی از کلیدهای موفقیت در فارنزیک دیجیتال، مستندسازی دقیق هر قدم و هر ابزار است تا شواهد به دست آمده در دادگاه یا جلسات مدیریتی قابل قبول باشد.