2. Agenda:
● wprowadzenie i definicje
● przygotowanie do reagowania na incydenty
● po wykryciu zdarzenia
● postępowanie z dowodami – Chain of custody
Reagowanie na incydenty
3. Źródła:
● Incident Response &
Computer Forensics –
K.Mandia, C. Prosise, M.
Pepe
● „Logs in Incident Response”
- A. Chuvakin
● www.sans.org
● www.incident-response.net
Reagowanie na incydenty
4. Czym jest incydent (w sensie informatycznym)?
Każdą bezprawną, nieautoryzowaną lub
nieakceptowalną akcją, która została dokonana
przy użyciu komputera i/lub sieci komputerowej.
Reagowanie na incydenty
5. Przykłady:
● Kradzież tajemnicy handlowej
● Nieautoryzowane lub bezprawne wtargnięcie do
systemów komputerowych
● Malwersacje
● Pornografia dziecięca
● Ataki DoS
● Naruszenie relacji biznesowych
● Wyłudzenia
Reagowanie na incydenty
6. Cele do osiągnięcia w reagowaniu na incydenty:
● Zapobieżenie bezładnej, nieskoordynowanej
reakcji
● Potwierdzenie lub zaprzeczenie zaistnienia
incydentu
● Ustanowienie kontroli nad poprawnym zbieraniem
i ewidencjonowaniem dowodów
● Gromadzenie właściwych i trafnych informacji
● Ochrona prywatności ustanowionej przez prawo
● Minimalizacja zakłóceń w działaniach organizacji i
działaniu systemów komputerowych
Reagowanie na incydenty
7. Cele do osiągnięcia w reagowaniu na incydenty –
c.d. :
● Doprowadzenie do rozpoczęcia działań
kryminalnych lub cywilnych wobec
sprawcy/sprawców
● Dostarczenie dokładnych raportów i użytecznych
rekomendacji
● Umożliwienie szybkiej detekcji i przeciwdziałania
● Minimalizacja ekspozycji i utraty danych
● Ochrona reputacji i zasobów organizacji
● Przygotowanie się/zapobieżenie podobnym
sytuacjom w przyszłości
Reagowanie na incydenty
9. Przygotowanie do działania w odpowiedzi na
zdarzenia:
● Wprowadzenie zabezpieczeń typu host-base i
network-base
● Szkolenia użytkowników
● Wdrożenie systemów ID (intrusion detection)
● Stworzenie mocnej kontroli dostępu
● Okresowe testowanie podatności systemów na
zagrożenia
● Regularne archiwizowanie danych (kopie
zapasowe)
Reagowanie na incydenty
10. Przygotowanie zespołu, który podejmie działania po
zaistnieniu zdarzenia, w tym przygotowanie:
● sprzętu do przeprowadzenia śledztwa
● oprogramowania do przeprowadzenia śledztwa
● dokumentacji (formularzy)
● polityki i procedury postępowania na wypadek
zdarzeń
● wyszkolenie i wyćwiczenie ludzi odpowiedzialnych
za podjęcie działań pozdarzeniowych
Reagowanie na incydenty
12. Przygotowanie do incident response w skrócie:
● Pojedyncze maszyny
● utworzenie sum kontrolnych dla krytycznych
plików
● zwiększenie lub włączenie bezpiecznego
logwania
● wdrożenie systemów zabezpieczeń host-side
● tworzenie kopii zapasowych
● edukacja użytkowników
Reagowanie na incydenty
13. Z warsztatów Confidence 2007 „Logs in Incident
Response” Antona Chuvakina:
Log analysis. Why NOT
● “Real hackers don’t get logged!” ☺
● Why bother? No, really ...
● Too much data (>x0 GB per day)
● Too hard to do
● Is this device lying to me? ☺
● No tools “that do it for you”
● – Or: tools too expensive
● What logs? We turned them off
Reagowanie na incydenty
14. Przygotowanie do incident response w skrócie:
● Sieć komputerowa
● wdrożenie firewalli i idsów (oczywiste)
● access-listy na routerach
● stworzenie topologii sieci (np. w Visio)
● szyfrowanie komunikacji
● wymaganie uwierzytelniania
Reagowanie na incydenty
15. Przygotowanie do incident response w skrócie:
● Stworzenie i wdrożenie polityk i procedur
● uwzględnienie czynników biznesowych
● uwzględnienie czynników prawnych
● uwzględnienie czynników polityki firmy
● uwzględnienie czynników technicznych
Brak polityk i procedur:
● panika i początkowa reakcja równolegle
● przeciwdziałanie skutkom i śledztwo w tym
samym czasie
● dwa kroki do przodu i dziesięć w tył
Reagowanie na incydenty
16. Sprzętowe minimum w reagowaniu na incydenty:
● komputer z:
● procesorem pentium 1GHz lub więcej
● minimum 256 MB RAM
● dyski IDE o dużej pojemności
● dyski SCSI o dużej pojemności
● karty i kontrolery SCSI
● szybki napęd optyczny CD/DVD RW
● kasetki do streamera
● dodatkowo:
● gniazda zasilające dla urządzeń peryferyjnych
● kable zasilające
● różnego typu przewody SCSI z terminatorami
● adaptery parallel-to-SCSI
● skrętkę UTP CAT 5 i huby/switche
● zasilanie awaryjne (UPS)
Reagowanie na incydenty
17. ● czyste płyty CD/DVD – 100 szt lub więcej
● etykiety (naklejki) na płyty
● marker do oznaczania płyt
● teczki biurowe wraz z etykietami
● instrukcje użytkownika dla posiadanego sprzętu
● kamerę cyfrową/aparat cyfrowy
● zamykane torebki/opakowania do zbierania dowodów
● drukarkę i papier
Reagowanie na incydenty
18. Ustanowienie zespołu odpowiedzialnego za
przeprowadzenie postępowania pozdarzeniowego
CIRT (Computer Incident Response Team):
● ustalenie misji zespołu
● stworzenie zespołu stałego lub powoływanego na
czas dochodzenia
● wyznaczenie osób odpowiedzialnych i kierownika
zespołu
● szkolenia i ćwiczenia
Reagowanie na incydenty
20. Cele:
● natychmiastowe i efektywne podejmowanie
decyzji
● jak najszybsze zebranie informacji w sposób
zapewniający niepodważalność dowodów
● odpowiednia sklasyfikowanie zdarzenia
● szybkie poinformowanie osób odpowiedzialnych
za wezwanie/zmobilizowanie zespołu CIRT
Reagowanie na incydenty
22. Zapisywanie wszystkich niezbędnych informacji
Lista czynności do wykonania w pierwszej
kolejności:
● data i czas wykrycia lub rozpoczęcia zdarzenia
● dane kontaktowe osoby odbierającej zgłoszenie
● dane kontaktowe osoby zgłaszającej
● typ zdarzenia
● lokalizacja komputerów objętych zdarzeniem
● data pierwszego zauważenia sytuacji
● opis fizycznych zabezpieczeń w miejscach zdarzeń
● w jaki sposób wykryto zdarzenie
● kto miał dostęp do systemów po wykryciu incydentu
● kto miał fizyczny dostęp do systemów po wykryciu incydentu
● kto obecnie wie o incydencie
Reagowanie na incydenty
23. Lista czynności do wykonania w drugiej kolejności:
● Zgromadzenie danych - Szczegóły systemu
● marka i model systemu
● system operacyjny
● główny użytkownik(-cy)
● administrator systemu
● adres sieciowy lub IP
● nazwa sieciowa
● rodzaje połączeń (np. modem)
● krytyczne informacje znajdujące się w systemie
Reagowanie na incydenty
24. ● Dochodzenie:
● czy zdarzenie nadal trwa i postępuje
● czy niezbędne jest monitorowanie sieci
● czy system podłączony jest do internetu/sieci;
jeśli nie to kto wydał polecenie odłączenia
systemu i kiedy będzie podłączony z powrotem
● czy istnieją kopie zapasowe
● jakie kroki przeciwdziałania zostały już podjęte
● czy zebrane informacje są przechowywane w
bezpieczny zapobiegający sfałszowaniu sposób
Reagowanie na incydenty
25. Narzędzia w incident response:
● narzędzia dla różnych systemów operacyjnych
● opisanie i oznaczenie nośników zawierających
narzędzia
● sprawdzenie zależności
● stworzenie sum kontrolnych dla narzędzi
● zabezpieczenie przed zapisem nośników z
programami narzędziowymi
● stosowanie narzędzi sprawdzonych i uznanych
przez środowisko specjalistów (prawo)
● korzystanie tylko z zaufanych kopii
Reagowanie na incydenty
26. Zebranie ulotnych danych:
● uruchomienie zaufanej powłoki (cmd.exe, bash)
● zapisanie czasu i daty systemowej
● sprawdzenie kto jest zalogowany do systemu
● zapisanie modyfikacji, stworzenia i dostępu do
wszystkich plików
● sprawdzenie otwartych portów sieciowych
(netstat, Fport)
● wylistowanie wszystkich uruchomionych procesów
● wylistowanie wszystkich połączeń
● zapisanie czasu i daty systemowej (!!! drugi raz!!!)
Reagowanie na incydenty
27. Zebranie ulotnych danych c.d.:
● udokumentowanie wszystkich wydanych poleceń
(doskey /history, .bash_history, script)
Najlepszym rozwiązaniem jest wykonanie
wszystkich powyższych kroków poprzez wcześniej
przygotowany skrypt (.bat, .sh). Zapobiegnie to
pomyłkom, skróci znacząco czas śledztwa i
zwiększy wiarygodność zebranych danych.
Reagowanie na incydenty
28. Zebranie innych ważnych danych:
● logi
● rejestry/pliki konfiguracyjne
● uzyskanie haseł systemowych
● zdumpowanie pamięci RAM (userdump.exe,
zmodyfikowane dd)
SUMY KONTROLNE!!!
Reagowanie na incydenty
29. Rootkity:
załóżmy, że wywołano program:
tcpdump -x -v -n
elementy tablic:
argv[0] = tcpdump
argv[1] = -x
argv[2] = -v
argv[3] = -n
argc = 4
zróbmy coś takiego:
strcpy(argv[0], ”xterm”)
i mamy „uruchomiony” xterm w trybie sieciowym ;)
Pomocne narzędzia kstat.
Reagowanie na incydenty
32. Duplikowanie dysków:
● skopiowanie przy pomocy dd lub komercyjnych
rozwiązań
● stworzenie sum kontrolnych
● tworzymy kopie kopii do pracy
● wykorzystanie czystych nośników do tworzenia
kopii (dd if=/dev/zero of=/dev/hdb)
Reagowanie na incydenty
33. Monitorowanie sieci:
● wybranie punktów zbierania danych
● uruchomienie dodatkowego systemu ID
wykrywającego ruch naruszający polityki i
procedury w trybie stealth
● zbieranie danych statystycznych i sesji (także przy
wykorzystaniu logów z firewalli, routerów)
● logowanie pełnych pakietów
Reagowanie na incydenty
34. Przydatny sprzęt:
● SPAN porty na switchach
● TAPy (test access point)
● HUBy – w ostateczności !!!
Reagowanie na incydenty
36. ● zasada najlepszej ewidencji
● autoryzowanie ewidencji
● dane muszą być gromadzone w taki sposób aby
nie móc podważyć ich wiarygodności
● możliwość śledzenia co się dzieje z danymi od
momentu zebrania do zakończenia śledztwa
● przechowywanie danych w bezpiecznym miejscu
● wyznaczenie osób odpowiedzialnych za
zabezpieczenie danych
● okresowe audyty w celu sprawdzenia dochowania
procedur
● sumy kontrolne !!!
Reagowanie na incydenty
37. Obchodzenie się z danymi:
● przy sprawdzaniu danych znajdujących się na
maszynie zapisz informacje identyfikujące system
● zrób zdjęcia komputera/nośników
● oznakuj nośniki i dokładnie opisz (oryginał, kopia)
● zabezpiecz fizycznie. elektromagnetycznie itp.
nośniki danych
● zewidencjonuj dowody w przeznaczonym do tego
notesie (kto, kiedy, oryginał, kopia)
● stwórz kopie zapasowe ewidencji
● dane mogą zostać przekazane tylko
wyznaczonym osobom
● audyty danych
Reagowanie na incydenty
38. Opis badanego systemu:
● kto korzystał do pomieszczenia gdzie znaleziono dowody
● kto ma dostęp do pomieszczenia gdzie znaleziono dowody
● kto aktualnie używa systemu
● umiejscowienie komputera w pomieszczeniu
● stan systemu: włączony/wyłączony, dane na ekranie
● data i czas BIOSu
● połączenia sieciowe (ethernet, modem)
● kto był obecny w trakcie zbierania danych
● numery seryjne, modele, producenci komponentów komputerowych
● urządzenia peryferyjne podłączone do systemu
Reagowanie na incydenty
39. Fotografie:
● ochrona śledczych przed oskarżeniem o uszkodzenie/ zniszczenie
przedmiotów
● upewnienie się że system zostanie przywrócony do poprzedniego stanu
po zebraniu danych
● utrwalenie podłączeń sieciowych (kabli), urządzeń peryferyjnych,
konfiguracji
Na zdjęciach:
● nie umieszczaj jakichkolwiek osób (jeśli to możliwe)
● uwzględnij dodatkowe oznaczenia – np. numer przy przedmiocie
● używaj tylko karty przeznaczonej do śledztwa (nie wolno użyć tej samej,
na której znajdują się zdjęcia z wakacji!!)
Reagowanie na incydenty
40. Oznaczenia przedmiotów:
● Miejsce i osoba od której dane zostały odebrane
● czy wymagana jest zgoda na sprawdzenie nośnika
● opis przedmiotów
● jeśli przedmiotem jest nośnik danych, opis jakie dane się na nim znajdują
● data i czas odebrania ewidencji
● Imię i nazwisko osoby, która jako pierwsza odebrała ewidencję
● numer sprawy i numer dowodu
Reagowanie na incydenty
41. Raporty w skrócie:
● dokładny opis i szczegóły zdarzenia
● zrozumiałe dla podejmujących decyzje
● przygotowane w sposób zapobiegający
jakiejkolwiek krytyce
● nie zawierające błędnych interpretacji
● z odwołaniami (referencjami) do źródeł
● zawierające wszystkie informacje do
wytłumaczenia wniosków
● wnioski, opinie, rekomendacje
Reagowanie na incydenty