My knowledge base

пятница, 31 августа 2012 г.

Forensics

Forensics, это, как нам wiki рассказывает, слово латинское и означает "of or before the forum". Т.е. это означало подготовку к публичному выступлению на суде. Сейчас это чаще означает что-то связанное с судом и сбором юридических свидетельств. Хотя может означать форму публичных выступлений.
С точки зрения информационной безопасности интересна наука "Computer forensics"(далее именно это будем именновать forensics), которая является веткой "digital forensic science" и означает сбором и представлением юридических свидетельств с носителей информации и компьютеров вообще - или seize and investigate (захват и исследование) digital evidence (цифровые улики, свидетельства). Причём к цифровым свидетельствам предъявляются опреденные требования, т.к. это  всё-таки нематериальные штуки. Вот требования бринаской Association of Chief Police Officers к цифровым уликам:
  • Никакие действия правоохранительных органов не должны привести к изменению данных на на носителях, которые могут быть предъявлены в суде.
  • В исключительных случаях, уполномоченное лицо может получить доступ к данным на носителях, если обладает необходимой компетенцией и в последствии сможет объяснить необходимость и последовательность своих действий 
  •  Вся последовательность действий с цифровыми свидетельствами должна быть зафиксирована так, чтобы независимая сторона могла их воспроизвести
  •  Лицо, ответственное за расследование, полностью отвечает за соблюдения этих принципов.
На русский лад Computer Forensic investigation можно называть "программно-технической экспертизой". Важно упомянуть отличие forensic investigation (действия  по сбору свидетельств инцидента) от incident response (реагирование на инцидент) - сосредоточенность на юридическом аспекте проишествия вообще и сборе улик в частности.

 Есть разные интересные техники проведения forensic investigations (сбор, анализ, отчёт):
  1. Cross-drive analysis. Сбор и соспостовление данных на устройствах хранения. Позволяет выявить аномалии.
  2. Live analysis. Сбор данных с операционной системы в постоянном режиме. В том числе, этот способ позволяет анализировать содержимое оперативной памяти, пока оно не было стёрто.
  3.  Восстановление удаленных данных. Самый распространеный способ - взять при обыске диске, сделать точную побитовую копию и вытаскивать оттуда имеющиеся и удаленные данные. 
Со сбором данных с носителей информации вроде понятно. Берем носитель, делаем побитовую копию (по необходимости используем спец оборудование), а дальше мозгом анализируем данные. А что можно найти с помощью сетевого сканера для live analysis?

  1. Следы успешных и безуспешных попыток подбора паролей (по журналам смотрим количество логинов в единицу времени, если очень много - попытка подбора). Конечно, не только для пользователей ОС, но и СУБД, ERP-приложений и др.
  2. Наличие в ОС или диске хакерских инструментов.
  3. Аномалии в системе аутентификации: пустые пароли, странные $PATH в окружении пользователя, настройки cron и sudoers.
  4. Поиск закладок
  5. Подозрительные программы в автозагрузке
  6. Поиск в истории браузера, списке недавно используемых документов.
  7. Поиск в документах пользователя слов типа "Пароль", "Резюме", "Конфиденциально" и т.п.
  8. Анализ изменений в таблице маршрутов, VLAN, ARP и др.
  9. Анализ изменений критичных файлов путем контроля их целостности
  10. Прочие подозрительные изменения в конфигурация информационных систем
Понятно, что большую часть информации, собранной сканером надо анализировать. Многие изменения могут быть авторизованы и не представлять проблем. Но ведь главное, чтобы было что анализировать. Автоматизированное средство здесь поможет выполнить рутинному работу по регулярному сбору данных, хранению их, выводу изменений и всякому поиску  в информации. И даже если вы ленитесь анализировать информацию постоянно, то в случае инцидента у нас будет под рукой сканы, который помогут восстановить картину преступления и собрать доказательства для суда.  Последнее действие и есть Forensic.

Комментариев нет:

Отправить комментарий