Disclaimer: Vi har ikke foretaget nogen live-undersøgelse. Dette var en del af vores universitetsopgave, hvor vi påtog os rollen som kriminalteknisk efterforsker og afgjorde, hvilke metoder der var anvendelige. Du er velkommen til at komme med dine egne resultater og løse sagen. Vi har forsøgt at følge den globale metodologi og illustreret, hvordan en grundlæggende kriminalteknisk undersøgelsesrapport bør se ud.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introduktion
Computerteknologi er en vigtig integreret del af menneskets hverdag, og den er i hastig vækst, og det samme gælder computerkriminalitet som f.eks. økonomisk svindel, uautoriseret indtrængen, identitetstyveri og intellektuelt tyveri. For at modvirke disse computerrelaterede forbrydelser spiller computerforeningsforskning en meget vigtig rolle. “Computerforensics omfatter indhentning og analyse af digitale oplysninger med henblik på anvendelse som bevismateriale i civile, strafferetlige eller administrative sager (Nelson, B., et al, 2008)”.
En computerforensisk undersøgelse undersøger generelt de data, der kan tages fra computerens harddiske eller andre lagringsenheder med overholdelse af standardpolitikker og procedurer for at afgøre, om disse enheder er blevet kompromitteret af uautoriseret adgang eller ej. Computerforeningsundersøgere arbejder som et team for at undersøge hændelsen og foretage den kriminaltekniske analyse ved hjælp af forskellige metoder (f.eks. statisk og dynamisk) og værktøjer (f.eks. ProDiscover eller Encase) for at sikre, at computernetværkssystemet er sikkert i en organisation. En god computerforsker skal være bekendt med forskellige love og bestemmelser vedrørende computerkriminalitet i sit land (f.eks. Computer Misuse Act 1990 i Det Forenede Kongerige) og forskellige computerstyresystemer (f.eks. Windows, Linux) og netværksstyresystemer (f.eks. Win NT). Ifølge Nelson, B., et al. (2008) er offentlige undersøgelser og private undersøgelser eller virksomhedsundersøgelser de to særskilte kategorier, der falder ind under Computer Forensics Investigations. Offentlige undersøgelser vil blive udført af offentlige myndigheder, og private undersøgelser vil blive udført af private computerforensiske teams. Denne rapport vil fokusere på private undersøgelser, da der skete en hændelse i en nyopstartet SMV i Luton.
Denne rapport omfatter også en computerundersøgelsesmodel, dataindsamlinger og deres typer, indsamling af beviser, kriminaltekniske værktøjer, skadelig efterforskning, juridiske aspekter af computerforensiske undersøgelser, og endelig indeholder denne rapport også de nødvendige anbefalinger, modforanstaltninger og politikker for at sikre, at denne SMV placeres i et sikkert netværksmiljø.
Case Study
En nyopstartet SMV (small-medium enterprise) i Luton med en e-forvaltningsmodel er for nylig begyndt at bemærke uregelmæssigheder i sine regnskabs- og produktregistre. Virksomheden har foretaget en indledende kontrol af systemets logfiler, og der er en række mistænkelige poster og IP-adresser med en stor mængde data, der sendes uden for virksomhedens firewall. De har også for nylig modtaget en række klager fra kunder, der siger, at der ofte vises en mærkelig meddelelse under ordrebehandlingen, og at de ofte omdirigeres til en betalingsside, der ikke ser legitim ud.
Selskabet anvender en generel e-business-pakke (OSCommerce) og har et lille team på seks IT-supportere, men de mener ikke, at de har den fornødne ekspertise til at foretage en omfattende malware/forensisk undersøgelse.
Da der er øget konkurrence på det højteknologiske område, er virksomheden ivrig efter at sikre, at deres systemer ikke bliver kompromitteret, og de har ansat en digital kriminalteknisk efterforsker til at fastslå, om der har fundet ondsindet aktivitet sted, og til at sikre, at der ikke findes malware i deres systemer.
Din opgave er at undersøge teamets mistanke og foreslå teamet, hvordan de kan desinficere eventuelle maskiner, der er ramt af malware, og sikre, at ingen andre maskiner i deres lokaler eller på tværs af netværket er blevet inficeret. Teamet ønsker også, at du udfører en digital kriminalteknisk undersøgelse for at se, om du kan spore årsagen til problemerne, og om nødvendigt forberede en sag mod gerningsmændene.
Firmaen bruger Windows Server NT til sine servere. IT-supportteamet anvender patches hver måned, men teamet har bemærket, at en række maskiner tilsyneladende ikke er blevet patchet.
Leveringsopgave
Din leverance i denne opgave er en rapport på 5.000 ord, der diskuterer, hvordan du ville gribe følgende an:
– Malwareundersøgelse
– Digital Forensic Investigation
Du skal diskutere et generelt overblik over den metode, du vil bruge, og give et begrundet argument for, hvorfor den valgte metode er relevant.
Du skal også drøfte den proces, som du vil bruge til at indsamle bevismateriale, og drøfte de relevante retningslinjer, der skal følges, når du indsamler digitalt bevismateriale.
Som en del af din rapport bør du også give en kritisk vurdering af de eksisterende værktøjer og teknikker, der anvendes til digital kriminaltekniske undersøgelser eller malwareundersøgelser, og vurdere deres effektivitet, idet du drøfter spørgsmål som konsistens i de anvendte metoder, de færdigheder, som de kriminaltekniske efterforskere har brug for, og de problemer, der er forbundet med de eksisterende metoder (især med hensyn til manglen på en enkelt fælles global tilgang til udførelse af sådanne undersøgelser og de problemer, der kan opstå, når der er behov for at udføre en undersøgelse, der går på tværs af internationale grænser).
Association of Chief Police Officers (ACPO)
Denne kriminaltekniske undersøgelse vil blive gennemført i overensstemmelse med retningslinjerne fra Association of Chief Police Officers (ACPO) og også dens fire principper. Der er fire ACPO-principper i forbindelse med computerbaserede elektroniske beviser. Disse principper skal følges, når en person gennemfører den computerforensiske undersøgelse. Resuméet af disse principper er som følger (ACPO, 2013);
Princip 1: Data, der er lagret på en computer eller et lagringsmedie, må ikke ændres eller ændres, da disse data senere kan blive fremlagt i retten.
Princip 2: En person skal være kompetent nok til at håndtere de originale data, der er lagret på en computer eller et lagringsmedie, hvis det er nødvendigt, og han/hun skal også være i stand til at fremlægge beviser, der forklarer relevansen og forløbet af deres handlinger.
Princip 3: Der skal oprettes og opbevares et revisionsspor eller anden dokumentation af alle processer, der anvendes på computerbaseret elektronisk bevismateriale. En uafhængig tredjepart bør kunne undersøge disse processer og opnå samme resultat.
Princip 4: En person, der er ansvarlig for efterforskningen, skal have det overordnede ansvar for at redegøre for, at loven og ACPO-principperne overholdes.
Computerundersøgelsesmodel
I henhold til Kruse II, W.G., og Heiser, J.G. (2010) består en computerundersøgelse i at identificere beviserne, bevare disse beviser, udtrække dem, dokumentere hver eneste proces og validere disse beviser og analysere dem for at finde den grundlæggende årsag, hvormed man kan give anbefalinger eller løsninger.
“Computerforensics er et nyt område, og der er mindre standardisering og konsistens på tværs af domstolene og industrien” (US-CERT, 2012). Hver computerforensisk model er fokuseret på et bestemt område som f.eks. retshåndhævelse eller elektronisk bevisopsporing. Der findes ikke en enkelt model for digital kriminaltekniske undersøgelser, som er blevet universelt accepteret. Det blev dog generelt accepteret, at rammerne for den digitale kriminaltekniske model skal være fleksible, så den kan understøtte alle typer hændelser og nye teknologier (Adam, R., 2012).
Kent, K., et.al, (2006) udviklede en grundlæggende digital kriminalteknisk undersøgelsesmodel kaldet Four Step Forensics Process (FSFP) med Venter (2006) idé om, at digital kriminalteknisk undersøgelse kan udføres af selv ikke-tekniske personer. Denne model giver mere fleksibilitet end andre modeller, så en organisation kan vælge den mest hensigtsmæssige model ud fra de situationer, der opstår. Dette er grundene til, at vi har valgt denne model til denne undersøgelse. FSFP indeholder følgende fire grundlæggende processer, som vist i figuren:
Figur 1: FSFP Forensic Investigation Model
Kilde: FSFP Forensic Investigation Model
Kilde: Kilde: Kent, K., et.al, (2006)
Pilmærket “Preserve and Document Evidence” angiver, at vi skal bevare og dokumentere alle beviser i løbet af undersøgelsen, da de i nogle tilfælde kan forelægges for retten som beviser. Vi vil diskutere hver enkelt proces eller fase i FSFP-undersøgelsesmodellen i de følgende afsnit.
Undersøgelsens omfang
Der er følgende omfang af de retsmedicinske undersøgelser i denne sag:
- At identificere de skadelige aktiviteter med hensyn til 5W’er (Why, When, Where, What, Who).
- At identificere sikkerhedsbristen i deres netværk.
- At finde ud af konsekvenserne, hvis netværkssystemet blev kompromitteret.
- At identificere de juridiske procedurer, hvis det er nødvendigt.
- Afgive de afhjælpende foranstaltninger for at hærde systemet.
Legal Challenges of Investigation
I henhold til Nelson, B., et al., (2008) er de juridiske udfordringer, før vi starter vores kriminaltekniske undersøgelse, følgende:
-
Det skal afgøres, om der er behov for hjælp fra de retshåndhævende myndigheder, og hvis det er tilfældet, kan de være til rådighed for hjælp under undersøgelsen, eller også skal vi indsende undersøgelsesrapporten til dem ved undersøgelsens afslutning.
-
Indhentelse af skriftlig tilladelse til at gennemføre den kriminaltekniske undersøgelse, medmindre der findes en anden procedure for tilladelse til hændelsesreaktion.
-
Diskutere med de juridiske rådgivere for at identificere de potentielle problemer, der kan opstå under den ukorrekte håndtering af undersøgelserne.
-
Sikre, at der tages hensyn til klienternes fortrolige og private anliggender.
Initial forberedelse
Det er indlysende, at før vi påbegynder undersøgelsen, skal vi have en forberedelse for at kunne gennemføre undersøgelsen effektivt. Dette betragtes som en proaktiv foranstaltning i forbindelse med efterforskningen (Murray, 2012). Følgende trin skal tages i forberedelsesfasen:
-
Indsamling af alle tilgængelige oplysninger fra vurderingen af hændelsen, såsom hændelsens alvorlighed.
-
Identificering af undersøgelsens indvirkning på SMV’ernes virksomhed, såsom nedetid på netværket, varighed af genopretning efter hændelsen, tab af indtægter og tab af fortrolige oplysninger.
-
Indhentning af oplysninger om netværkene, netværksenheder såsom router, switche, hub osv, dokumentation af netværkstopologi, computere, servere, firewall og netværksdiagram.
-
Identificering af eksterne lagringsenheder såsom pen-drev, flash-drev, ekstern harddisk, cd, dvd, hukommelseskort og fjerncomputer.
-
Identificering af de kriminaltekniske værktøjer, der kan anvendes i denne undersøgelse.
-
Optagelse af live netværkstrafik i tilfælde af, at de mistænkelige aktiviteter stadig kører med ‘netmon’-værktøjer.
-
Dokumentering af alle aktiviteter under efterforskningen, som kan bruges i retten til at verificere den fremgangsmåde, der blev fulgt i efterforskningen.
-
Imaging af målenhedernes harddisk og hashing dem med MD5 for dataintegritet.
Indsamling
“Indsamlingsfasen er den første fase i denne proces er at identificere, mærke, registrere og erhverve data fra de mulige kilder til relevante data, samtidig med at retningslinjer og procedurer følges, der bevarer dataintegriteten” (CJCSM 6510.01B, 2012). Der er to forskellige typer af data, der kan indsamles i en computerforensisk undersøgelse. Det drejer sig om flygtige data og ikke-flygtige data (persistente data). Flygtige data er data, der findes, når systemet er tændt, og som slettes, når det slukkes, f.eks. Random Access Memory (RAM), registreringsdatabasen og caches. Ikke-flygtige data er data, der findes på et system, når strømmen er tændt eller slukket, f.eks. dokumenter på HD. Da flygtige data har en kort levetid, skal en computerforeningsdetektiv vide, hvordan de bedst kan opfanges. Bevismateriale kan indsamles lokalt eller eksternt.
Volatile data
Den følgende figur viser, hvordan man opfanger de flygtige data. Den retsmedicinske arbejdsstation skal være placeret i det samme LAN, hvor målmaskinen, i dette tilfælde Windows NT Server, er placeret. ‘Cryptcat’-værktøjet kan bruges på den retsmedicinske arbejdsstation til at lytte til porten på Windows NT-serveren. Opret det betroede optiske drev til værktøjssættet i Windows NT-serveren og åbn den betroede konsol cmd.exe og brug følgende kommando:
cryptcat <ip address> 6543 -k key
For at opsamle dataene på den kriminaltekniske arbejdsstation bruger vi følgende kommando:
cryptcat -l -p 6543 -k key >> <filnavn>
Figur 2: Opsætning af flygtig dataindsamling
Kilde: Reino, A., (2012)
Den følgende tabel viser de grafiske brugergrænsefladeværktøjer, og deres brug og resultat kan bruges i den computerforensiske undersøgelse.
Tabel 1: Volatile Data Forensic Tools and their use and outcome
Kilde: Reino, A., (2012)
Kilde: Reino, A., (2012)
Source: Reino, A., (2012)
Reino, A., (2012)
Vi bruger også forskellige Windows-baserede værktøjer til at indfange de flygtige data som følger:
HBGray’s FastDump – Lokal fysisk hukommelsesindsamling.
HBGray’s F-Response – Fjern fysisk hukommelsesindsamling
ipconfig – Indsamling af emnets systemoplysninger.
netusers og qusers – Identifikation af loggede brugere
doskey/history – Indsamling af kommandohistorik
netfile – Identifikation af tjenester og drivere
Finalt er indsamling af indholdet af udklipsholderen også meget vigtig i en computerforensisk undersøgelse. Der kan findes flere beviser fra en maskine, der stadig kører, så hvis uregelmæssighederne stadig er der i SMV’en, kan vi hente en masse vigtige beviser fra de kørende processer, netværksforbindelsen og de data, der er gemt i hukommelsen. Der er mange beviser, når maskinen er i den flygtige tilstand, og derfor skal det sikres, at de berørte computere ikke lukkes ned for at indsamle sådanne beviser.
Non-flygtige data
Når de flygtige data er blevet indsamlet, vil vi se på de ikke-flygtige data. Det første skridt i indsamlingen af ikke-flygtige data er at kopiere indholdet af hele målsystemet. Dette kaldes også “forensic imaging”. Billeddannelse er med til at bevare de originale data som bevismateriale uden nogen fejlfunktion eller ændringer i dataene, som opstår under den retsmedicinske undersøgelse. Forensisk billeddannelse oprettes af kriminaltekniske værktøjer som EnCase, ProDiscover og FTK. En kriminalteknisk efterforsker bruger en skriveblokker til at oprette forbindelse til målsystemet og kopiere hele indholdet af måldrevet til en anden lagerenhed ved hjælp af et af disse kriminaltekniske værktøjer. Kloning af harddiske er intet andet end at lave en kopi af hele systemet. Forskellen mellem kriminalteknisk billeddannelse og harddiskkloning er, at kriminalteknisk billeddannelse ikke kan tilgås uden kriminaltekniske værktøjer, men harddiskkloning kan nemt tilgås med et monteringsdrev. Harddiskkloning indeholder kun et råaftryk, og hver eneste bit vil blive kopieret, og der vil ikke blive tilføjet andet ekstra indhold. Kriminalteknisk billeddannelse indeholder metadata, dvs. hashes og tidsstempler, og den komprimerer alle de tomme blokke. Forensic imaging vil hashe med MD5 eller SHA-2 for at sikre integriteten af digitale beviser (Nelson, B., et al., 2008).
Dataindsamling kan foretages i offline-undersøgelse og online-undersøgelse. Forensisk billedbehandling kan foretages med offlineundersøgelse. Live netværkstrafik kan udføres med onlineundersøgelse ved hjælp af ethereal- eller Wireshark-værktøjer. Firewalllogs, antiviruslogs og domænecontrollerlogs vil blive indsamlet til undersøgelsen under den ikke-flygtige dataindsamling. Vi vil også indsamle webserverlogfiler, Windows-hændelseslogfiler, databaselogfiler, IDS-logfiler og programlogfiler. Når vi har indsamlet alle de digitale beviser, skal de dokumenteres i logdokumentationen for opbevaringskæden. Chain of the custody log dokumentation er at opretholde integriteten af beviserne fra start til slut af undersøgelsen, indtil denne undersøgelsesrapport vil blive præsenteret (Nelson, B., et al., 2008).
Hvor vi udfører yderligere processer, skal vi afbilde disken bit for bit, hvilket vil få adgang til hele volumenet og kopiere de originale medier, herunder de slettede filer. Når disken er afbildet, skal vi hashe alt, hvilket vil sikre, at dataene er autentiske, og at dataenes integritet vil blive opretholdt under hele undersøgelsen. Hashværdierne skal registreres flere steder, og vi skal sikre, at vi ikke foretager nogen ændringer i dataene fra indsamlingen af dataene til undersøgelsens afslutning. De fleste værktøjer hjælper med at opnå dette ved at få adgang til medierne i en skrivebeskyttet tilstand (SANS, 2010). Målsystemets harddiske, eksterne lagerenheder og Windows NT Server Harddisken skal erhverves til den digitale kriminaltekniske undersøgelse i dette tilfælde.
Undersøgelse
Når vi har indsamlet alle de tilgængelige beviser, skal vi foretage undersøgelsen ved hjælp af forskellige værktøjer til kriminaltekniske undersøgelser af computere. Vi undersøger også filsystemet, Windows-registret, netværket og databasen forensisk undersøgelse, som følger:
Filsystemundersøgelse
NTFS er det nye teknologiske filsystem og NTFS Disk er en fil. MFT er Master File Table, som indeholder oplysninger om alle filer og diske, og det er også den første fil i NTFS. Registreringerne i MFT kaldes også metadata. Metadata er data om data (Nelson, B., et. al., 2008). Filer kan gemmes i MFT på to måder: residente og ikke-residente. En fil, der er mindre end 512 bytes, kan rummes i MFT som residente filer, og en fil, der er mere end 512 bytes, kan gemmes uden for MFT som ikke-residente filer. Når en fil slettes i Windows NT, omdøbes filen af operativsystemet og flyttes til papirkurven med en unik identitet. OS gemmer oplysninger om den oprindelige sti og det oprindelige filnavn i info2-filen. Men hvis en fil slettes fra papirkurven, markeres de tilknyttede klynger som værende tilgængelige for nye data. NTFS er mere effektivt end FAT, da det er hurtigere til at genvinde sin slettede plads. NTFS-diske er en datastrøm, hvilket betyder, at de kan tilføjes til en anden eksisterende fil. En datastrømsfil kan gemmes på følgende måde:
C:echo text_mess > file1.txt:file2.txt
Denne fil kan hentes med følgende kommando:
C:more < file1.txt:file2.txt
W2K.Stream og Win2K.Team er vira, som blev udviklet ved hjælp af en datastrøm, og de blev udviklet med henblik på at ændre den oprindelige datastrøm. Som efterforsker skal vi være opmærksomme på Windows-filsystemerne FAT og NTFS i dybden (Nelson, B., et. al., 2008).
Windows Registry Examination
I henhold til (Carvey, H., 2005) kan et register behandles som en logfil, fordi det indeholder data, der kan hentes af en retsmedicinsk efterforsker de tilknyttede nøgleværdier kaldes “Lastwrite”-tidspunktet, som er gemt som FILETIME og anses for at være det sidste ændringstidspunkt for en fil. Med filer er det ofte vanskeligt at få en præcis dato og klokkeslæt for filændringen, men Lastwrite-værdien viser, hvornår registreringsdatabasen sidst blev ændret. Fantastic vil gennemgå nogle bestemte trin (Carvey, H., 2005), som er anført nedenfor for at analysere organisationens Windows-register for at sikre, at problemet inden for og uden for organisationen er kendt og bliver løst for at beskytte og bevare virksomhedens omdømme.
Windows-registeret er en række databaser i en computer, der bruges af Microsoft i Windows 98, Windows CE, Windows NT og Windows 2000 til at gemme en bruger eller brugerprogram og hardwareenheder konfiguration, som bruges som referencepunkt under udførelsen af et program eller processer (Windows, 2013). Den fælles struktur i Windows-registret er opdelt i “Hives”, som er:
-
HKEY_CLASSES_ROOT: sikrer, at de nødvendige programmer bliver udført.HKEY_CURRENT_USER: indeholder generelle oplysninger om en bruger, der i øjeblikket er logget ind på systemet.HKEY_LOCAL_MACHINE: indeholder oplysninger om hardware, drev osv. i et system.HKEY_USERS: indeholder alle oplysninger om brugere på et bestemt system.HKEY_CURRENT_CONFIG: gemmer oplysninger om den nuværende konfiguration af systemet.
Windows-registret består af flygtige og ikke-flygtige oplysninger. Det betyder, at en efterforsker som minimum skal være bekendt med hver betydning og funktionalitet af de enkelte hives, nøgler, data og værdier i et Window-register, før han foretager en kriminalteknisk undersøgelse af en computer for at få en vellykket kriminalteknisk undersøgelsesrapport.
Autostartplacering: er en placering i registreringsdatabasen, hvor programmerne er indstillet til at blive startet uden brugerinitiering. Med denne funktionalitet kan en malware, der påvirker Luton SME, køre vedvarende, når maskinen tændes uden direkte brugerinteraktion, fordi den allerede var programmeret til at autostarte sig selv, eller når en bruger kører nogle specifikke kommandoer eller processer.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCTCurrentVersionImage File Execution Option er en Windows-registreringsdatabase, hvor en angriber kan bruge nøglen til omdirigering af en original applikationskopi til dens trojaniserede kopi (Carvey, H., 2005). Luton SME kan være udsat for dette angreb: en omdirigering af kundens betalingsside til en ulovlig side.
En kriminalteknisk efterforsker kan undersøge autostartplaceringen for at afgøre, om Luton SME-problemet skyldes en handling udført af en bruger, en malware eller af en angriber på organisationen. Ifølge (Carvey, H., 2005) er den pålidelige måde at få adgang til autolocation på ved hjælp af AutoRuns-værktøjer fra SysInternals.com, som kan give en liste over autostartplaceringer.
Brugeraktivitet: En brugers handling og aktiviteter kan undersøges i HKEY_CUREENT_USER-hive, som er oprettet fra HKEY_USERSID-hive. Brugeroplysninger tilknyttes til HKEY_CURRENT_USER. NTUSER.DAT indeholder oplysninger om en brugers indstillinger for registreringsspecifikationer. Undersøgelse af dette hive vil give en kriminalteknisk efterforsker et godt fingerpeg om de aktiviteter og handlinger, som en bruger har foretaget.
Most Recent Used (MRU) List: MRU indeholder de seneste specifikke handlinger, som en bruger har foretaget, og holder styr på aktiviteterne med henblik på fremtidig reference. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU opretholder f.eks. en liste over udførte kommandoer, der er kørt af en bruger. Hver udførte kommando i kørselsfeltet tilføjer en nøgleværdipost til hive-området, som vist nedenfor:
Figur3: Indholdet af nøglen ExplorerRunMRU.
Kilde: Carvey, H., (2005)
En kriminalteknisk efterforsker kan studere denne hive for at finde frem til det sidste skrivetidspunkt for hver kommando fra MRU-listen som vist ovenfor. Med dette vil efterforskeren fra SME Luton kunne analysere ud fra registreringsdatabasen, om det var brugeraktivitet, en malware-handling eller et angreb, der påvirker organisationen.
UserAssist: Ifølge (Carvey, H., 2005) består UserAssist, som findes under karnappen HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist, af to nøgler, der almindeligvis ligner globalt unikke identifikatorer, der holder krypterede optegnelser over hvert objekt, program osv. som en bruger har haft adgang til på systemet. Hvis en efterforsker har fået adgang til den krypterede registrering, som ikke længere er endelig, kan det indikere en handling, som brugeren har udført for at udløse malwaren via et program eller en anden aktivitet, som han måtte have udført.
USB flytbart lager: Ifølge Farmer, College og Vermont (2008) bliver alle enheder, der er tilsluttet systemet, vedligeholdt i et computerregister under følgende nøgle HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Figuren nedenfor viser et eksempel på drev-ID’er for et USB-drev:
Figur4: Eksempel på indholdet af USBSTOR-nøglen, der viser enhedsinstans-id’er.
Kilde: Carvey, H., (2005)
Ved hjælp af den monterede drevs hives vil en efterforsker have et fingerpeg, når han/hun analyserer indholdet af enheds-id’et, der vedligeholdes i registreringsdatabasen, for at vide, hvilken enhed der blev monteret på Luton SME-organisationen. Ved vedvarende undersøgelse af hver værdinøgle kan en efterforsker identificere flytbare USB-lagerenheder og mappe dem til parentidprefixet.
Wireless SSID’er: Ifølge (Carvey, H., 2005) kan SSID’er for trådløse netværk, der anvendes på en computer, findes under HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Når man navigerer til nøgleværdier, indeholder de undernøgler, der ligner globalt unikke identifikatorer, som, når de åbnes, kan en efterforsker navigere til ActiveSettings, som afslører hvert trådløst SSID i form af en binær datatype. Når der højreklikkes for at ændre det, vises SSID’erne i almindeligt skrevet format. Selv om IP-adresse og andre netværksoplysninger kan findes under HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, kan en efterforsker bruge disse oplysninger til at knytte en bruger i Luton SME-organisationen til en bestemt tidsramme, hvis personens IP-adresse kan findes under ovennævnte Window-register.
Windows-registeret kan også være en vigtig kilde til beviser i en retsmedicinsk undersøgelse, hvis efterforskeren ved, hvor han/hun kan få tilgængelige data, der kan være vel præsentable for Luton SME-organisationen. Fantastic har forsøgt at analysere nogle af de grundlæggende Windows-registre, der kan have forårsaget omdirigering af dens webside, sporet brugeraktivitet og alle nødvendige programmer, som en bruger havde udført, enheder, der blev brugt på serveren eller en af organisationens computere, og også afsløret brugernes IP-adresse.
Network Forensic Examination
Den erhvervelse, indsamling og analyse af de begivenheder, der finder sted i netværket, betegnes som network forensics. Nogle gange er det også kendt som packet forensics eller packet mining. Det grundlæggende formål med netværksforensics er det samme, nemlig at indsamle oplysninger om pakkerne i netværkstrafikken som f.eks. mails, forespørgsler, browsing af webindhold osv. og opbevare disse oplysninger på én kilde og foretage yderligere inspektion (WildPackets, 2010).
Netværksforensics kan anvendes på to hovedmåder. Den første er sikkerhedsrelateret, hvor et netværk overvåges for mistænkelig trafik og enhver form for indtrængen. Det er muligt for angriberen at slette alle logfilerne fra en inficeret vært, så i denne situation kommer det netværksbaserede bevismateriale i spil i den kriminaltekniske analyse. Den anden anvendelse af netværksforensics er relateret til retshåndhævelse, hvor den netværkstrafik, der er blevet opfanget, kan bruges til at indsamle de filer, der er blevet overført via netværket, søge efter nøgleord og analysere den menneskelige kommunikation, der er foregået via e-mails eller andre lignende sessioner. (Hunt, 2012)
Tools and Techniques of Network Forensics
Vi kan udføre enhver operation med en retsmedicinsk forsvarlig bootbar DVD/CD-ROM, USB-flashdrev eller endda en diskette. Først skal vi dumpe hukommelsen, og det foretrækkes at gøre det med et USB-flashdrev med tilstrækkelig størrelse. Vi skal også foretage en risikovurdering, når vi er ved at indsamle flygtige data for at vurdere, om det er sikkert og relevant at indsamle sådanne levende data, som kan være meget nyttige i en undersøgelse. Vi bør bruge kriminaltekniske værktøjskasser under hele processen, da dette vil hjælpe med at opfylde kravene til en kriminalteknisk undersøgelse. Disse værktøjer bør være pålidelige, og det kan erhverves fra blandt de frit distribuerede værktøjer til de kommercielle værktøjer. (7safe, 2013)
Der bør indsamles nogle meget vigtige og diskrete oplysninger fra en kørende maskine ved hjælp af pålidelige værktøjer som:
-
Process listings.
-
Service listings.
-
Systemoplysninger.
-
Loggede og registrerede brugere.
-
Netværksforbindelser.
-
Registeroplysninger.
-
Binary dump af hukommelse.
(7safe, 2013)Der findes mange forskellige former for netværksforeningsværktøjer, hver med forskellige funktioner. Nogle er blot pakkesniffere, og andre beskæftiger sig med identifikation, fingeraftryk, lokalisering, kortlægning, e-mail-kommunikation, webtjenester osv. Nedenstående tabel viser nogle af de open source-værktøjer, der kan bruges til netværksforensiske undersøgelser, og deres funktionaliteter. (Hunt, 2012)
Værktøj Platform Websted Attributter TCPDumpWindump Unix & Windows www.tcpdump.org F NetStumbler Windows www.netstumbler.com F Wireshark Unix & Windows www.wireshark.org F Sleuth Kit Unix www.sleuthkit.org F R C Argus Unix www.qosient.com/argus F L SNORT Windows /Unix www.snort.org F F: Filter & indsamling; L: Loganalyse; R: Genmontering af datastrøm; C: Korrelation af data; A: Visning af applikationslag
Tabel 2: Netværksværktøjer til kriminaltekniske undersøgelser
Kilde: Netværksværktøjer
Kilde: (Hunt, 2012)
Database Forensics Examination
En database er en samling af data eller oplysninger, som er repræsenteret i form af filer eller en samling af filer. Hentning af data fra databasen kan ske ved hjælp af et sæt forespørgsler. Databaseforeningsforskning kan defineres som anvendelsen af computerundersøgelser og analyseteknikker til at indsamle beviser fra databasen med henblik på at fremlægge dem i en domstol. Det er nødvendigt at foretage en kriminalteknisk undersøgelse af databaserne, fordi en database indeholder følsomme data, hvor der er stor risiko for, at ubudne gæster bryder sikkerheden for at få fat i disse personlige oplysninger.
I casestudiet nævnes det, at der sendes en stor mængde data ud af databasen, så nu er det Fantastic-teamets opgave at foretage en kriminalteknisk undersøgelse af databasen ved hjælp af kriminaltekniske værktøjer. Databaseforensics fokuserer på identifikation, bevaring og analyse af data. Ifølge Khanuja, H.K., og Adane, D.S., (2011) skal brugerne for at få adgang til databasen have tilladelser som autorisation og autentificering fra databaseserverne. Når godkendelsen er givet, er det kun brugeren, der kan få adgang til dataene, og hvis det er hensigten, kan han/hun ændre dataene. Hvis vi nu tjekker databasens revisionslogfiler, kan vi få en liste over de brugere, der har fået tilladelse til at få adgang til dataene. Holdet skal søge i databasen efter de IP-adresser, der er fjernforbundet, fordi der er risiko for, at den autoriserede eller uautoriserede bruger ændrer dataene.
I henhold til Dave, P., (2013) kan vi ved hjælp af undersøgelsen spore operationerne i DDL (Data Definition Language), som bruges til at definere databasestrukturen, og DML (Data Manipulation Language), som bruges til at styre dataene i databasen, og vi kan identificere, om der er sket nogen før- og eftertransaktioner i databasen. Denne undersøgelse kan også hjælpe os med at finde ud af, om der er datarækker, der er slettet af brugeren med vilje, og er i stand til at gendanne dem, og den hjælper os også med at bevise eller afkræfte, at der er sket et brud på datasikkerheden i databasen, og den hjælper os med at bestemme omfanget af indbruddet i databasen. Windows forensic tool v1.0.03 anvendes med en tilpasset konfigurationsfil, som vil udføre DMV (Distributed Management Views) og DBCC (Database Consistency Checker) kommandoer for at indsamle de data, der er tilstrækkelige til at bevise eller afkræfte indbruddet som tidligere nævnt (Fowler, K., 2007).
Analyse
I første omgang skal vi analysere de beviser, som vi har indsamlet og undersøgt. Vi vil se på dataene for at se, om der præsenteres skjulte filer eller usædvanlige filer eller ej. Derefter om der er nogen usædvanlig proces, der kører, og om der er nogen sockets, der er åbnet usædvanligt. Vi vil også se, om der er opstået usædvanlige programanmodninger. Derefter vil vi kontrollere kontoen, om der findes en usædvanlig konto eller ej. Vi vil også finde systemet med patchingniveau, om det er blevet opdateret eller ej. Ved hjælp af resultatet af disse analyser vil vi få at vide, om der forekommer skadelige aktiviteter eller ej. Derefter vil vi udvikle en yderligere strategi for den retsmedicinske undersøgelse, f.eks. en fuldstændig analyse af hukommelse, fuldstændig analyse af filsystemer, korrelation af hændelser og tidslinjeanalyse (Nelson, B., et. al., 2008). Ifølge denne casestudie er der ondsindede aktiviteter i deres netværkssystem, og det er også blevet bekræftet af vores indledende analyse. For at finde den skadelige kode og dens formål er vi nødt til at foretage en analyse af den eksekverbare malware. Den eksekverbare malware-analyse kan opdeles i statisk analyse og adfærdsanalyse.
Malware-analyse
I henhold til rapporten fra Verizon “2012 Data Breach Investigations Report” har 99 % af sårbarhederne ført til, at dataene er blevet kompromitteret i et par dage eller mindre, mens 85 % har taget flere uger at undersøge. Dette er en alvorlig udfordring for sikkerhedsafdelingerne, da angriberne får meget tid til at arbejde i et kompromitteret miljø. Mere “fritid” fører til flere stjålne data og mere alvorlig skade. Dette skyldes primært, at de nuværende sikkerhedsforanstaltninger ikke er beregnet til at håndtere mere komplekse trusler (2012 Data Breach Investigations Report, Verizon, 2012).
Punktet, når man udfører en undersøgelse af et malware-krimi: Visse dele af en Windows-pc er godt på vej til at indeholde data, der identificerer med malware-installationen og -anvendelsen. Juridiske undersøgelser af de handlede rammer inkorporerede en revision af record hash-værdier, signaturforvirringer, pakkede filer, kollisionslogfiler, systemgendannelsespunkter og pagefile. En verdensomspændende undersøgelse af filsystemerne og hændelseslogfilerne kan rettes til at skelne mellem øvelser omkring det tidspunkt, hvor malware blev animeret på systemet. Avancerede specialister kan desuden også gennemgå registreringsdatabasen for usædvanlige indgange, f.eks. i Autostart-områder, og justeringer omkring tidspunktet for installationen af malware. Nøgleordsjagter kan udføres for at opdage henvisninger til malware og forbindelser med andre forhandlede værter. Normale angrebsvektorer genkendes, herunder vedhæftede e-mails, web-browsinghistorik og uautoriserede logons.
I henhold til Syngress “Malware Forensics – Investigating and Analyzing Malicious Code, 2003” bør der foretages en undersøgelse baseret på følgende:
-
Søg efter kendt malware
-
Review Installed Programs
-
Examine Prefetch
-
Inspect Executables
-
Review Auto-start
-
Review Scheduled Jobs
-
Examine Logs
-
Review User Accounts
-
Examine File System
-
Undersøg Registry
-
Restaureringspunkter
-
Søgning af nøgleord
Hvor du starter malware-analysen, skal vi oprette malware-analysemiljøet som f.eks. VMware og Norton Ghost. VMware er et virtuelt baseret malware-analysemiljø, og Norton Ghost er et dedikeret malware-analysemiljø.
Statisk analyse
Statisk analyse er den type malware-analyse, der bruges til at foretage analysen uden at køre malware-programmeringen. Statisk analyse er bedre end dynamisk analyse med hensyn til sikker analyse. Da malwareprogrammet ikke kører, er der ingen frygt for at slette eller ændre filerne. Det er altid bedst at foretage den statiske malware-analyse i et andet operativsystem, hvor malware ikke er designet til at køre eller påvirke. Fordi en efterforsker ved et uheld kan dobbeltklikke på malwareprogrammet for at få det til at køre, og det vil påvirke systemet. Der er så mange måder at foretage den statiske analyse på, såsom File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format og Disassembly (Kendall, K., 2007).
Dynamisk analyse
Dynamisk analyse er den type malware-analyse, hvor malware-kode kører og observerer sin adfærd. Den kaldes også Behaviour Malware Analysis (adfærdsmalwareanalyse). Dynamisk analyse er ikke sikker at udføre, medmindre vi er klar til at ofre malwareanalysemiljøet. Vi kan analysere malware ved blot at overvåge adfærden af malware-funktionerne. Der findes mange værktøjer til at udføre den dynamiske malware-analyse, men Process Monitor fra SysInternals og Wireshark er de mest anvendte og freeware-værktøjer (Kendall, K., 2007).
Iflg, (2007) vil en simpel statisk og dynamisk malware-analyse i næsten alle malware-tilfælde finde alle de svar, som malware-efterforskerne vil have brug for i forbindelse med den pågældende malware-kode.
Fund
Efter vores undersøgelse opsummerer vi vores fund som følger:
-
Identificerede angriberens vedvarende fjernadgang til virksomhedens computere.
-
Den kriminaltekniske analyse identificerede, at systemerne var blevet kompromitteret.
-
OS-patches var ikke installeret i nogle systemer.
-
Der blev fundet formodet malware i det kompromitterede system.
-
Identificering af denne malware og dens funktionalitet &Målet med malware fik os til at konkludere, at det er “spamming”-malware.
-
Det blev fastslået, at angriberne havde adgang til kundens systemer ved hjælp af malware ved at levere i passende webstedslink til betalingsgateway.
Remedierende foranstaltninger
Der blev overvejet ovenfor de mest almindelige måder af skadelig software ind i netværket. Ud fra ovenstående er det muligt at drage to vigtige konklusioner:
-
De fleste af de beskrevne metoder er på en eller anden måde relateret til den menneskelige faktor, og derfor vil uddannelse af medarbejdere og regelmæssig uddannelse om sikkerhed forbedre netværkssikkerheden;
-
Frekvente tilfælde af hacking af legitime websteder fører til, at selv en kompetent bruger kan inficere sin computer. Derfor kommer vi i forgrunden klassiske beskyttelsesforanstaltninger: antivirus-software, rettidig installation af de sidste opdateringer og overvågning af internettrafikken.
I henhold til Shiner, D.L.D., og Cross, M., (2002) er der vigtige modforanstaltninger til at beskytte mod malware:
-
Autentificering og passwordbeskyttelse
-
Antivirussoftware
-
Firewalls (hardware eller software)
-
DMZ (demilitariseret zone)
-
IDS (Intrusion Detection System)
-
Pakkefiltre
-
Routere og switche
-
Proxyservere
-
VPN (Virtual Private Networks)
-
Logning og revision
-
Access control time
-
Proprietær software/hardware er ikke tilgængelig i det offentlige domæne
I vores tilfælde, er de mest nyttige følgende:
-
Firewall
-
Logning og revision
Firewall kontrollerer alle websider, der kommer ind på brugerens computer. Hver webside opfanges og analyseres af firewallen for skadelig kode. Hvis en webside, som brugeren har adgang til, indeholder skadelig kode, blokeres adgangen til den. Samtidig vises en meddelelse om, at den ønskede side er inficeret. Hvis websiden ikke indeholder skadelig kode, bliver den straks tilgængelig for brugeren.
Med logning menes indsamling og lagring af oplysninger om hændelser, der forekommer i informationssystemet. F.eks. hvem og hvornår der forsøgte at logge på systemet, og hvordan dette forsøg endte, hvem og hvilke informationsressourcer der blev brugt, hvad og hvem der ændrede informationsressourcerne, og mange andre.
Audit er en analyse af de akkumulerede data, der udføres hurtigt, næsten i realtid (Shiner, D.L.D., og Cross, M., 2002). Gennemførelse af logning og revision har følgende hovedformål:
-
Regnskab for brugere og administratorer;
-
Giver mulighed for rekonstruktion af hændelser;
-
Opdagelsesforsøg krænkelser af informationssikkerheden;
-
Giver oplysninger til at identificere og analysere problemer.
Sikkerhedspolitikker
De mest fuldstændige kriterier for evaluering af sikkerhedsmekanismer på organisatorisk niveau er præsenteret i den internationale standard ISO 17799: Code of Practice for Information Security Management, som blev vedtaget i 2000. ISO 17799 er den internationale udgave af den britiske standard BS 7799. ISO 17799 indeholder praktiske regler for informationssikkerhedsstyring og kan anvendes som kriterier for vurdering af sikkerhedsmekanismer på organisatorisk niveau, herunder administrative, proceduremæssige og fysiske sikkerhedsforanstaltninger (ISO/IEC 17799:2005).
De praktiske regler er opdelt i følgende afsnit:
-
sikkerhedspolitik;
-
organisering af informationssikkerhed;
-
forvaltning af aktiver;
-
sikkerhed af menneskelige ressourcer;
-
fysisk og miljømæssig sikkerhed;
-
kommunikation og driftsledelse;
-
adgangskontrol;
-
anskaffelse, udvikling og vedligeholdelse af informationssystemer;
-
håndtering af informationssikkerhedshændelser;
-
forvaltning af forretningskontinuitet;
-
overholdelse.
Disse afsnit beskriver de sikkerhedsmekanismer på organisatorisk niveau, der i øjeblikket er implementeret i statslige og kommercielle organisationer verden over (ISO1799, 2005).
Der opstår flere spørgsmål efter at have overvejet ovenstående behov for en eller anden kombination af forretningskrav til internettet. Hvilken software og hardware og organisatoriske foranstaltninger skal implementeres for at opfylde organisationens behov? Hvad er risikoen? Hvilke etiske standarder skal organisationen have for at kunne udføre sine opgaver ved hjælp af Internettet? Hvem skal være ansvarlig for dette? Grundlaget for svarene på disse spørgsmål er en konceptuel sikkerhedspolitik for organisationen (Swanson, M., 2001).
Det næste afsnit indeholder fragmenter af hypotetiske sikkerhedspolitikker for sikkert arbejde på Internettet. Disse fragmenter blev udformet på baggrund af analysen af de vigtigste typer af sikkerhedsudstyr.
Sikkerhedspolitikker kan opdeles i to kategorier: teknisk politik, der implementeres ved hjælp af hardware og software, og administrativ politik, der udføres af de personer, der bruger systemet, og de personer, der styrer det (Swanson, M., 2001).
Gennemsnitlig sikkerhedspolitik for en organisation:
-
Alle informationssystemer skal have en sikkerhedspolitik
-
Sikkerhedspolitikken skal være godkendt af organisationens ledelse
-
Sikkerhedspolitikken skal nå ud til alle medarbejdere i en enkel og forståelig form
-
Sikkerhedspolitikken skal omfatte:
-
Definition af informationssikkerhed, dens vigtigste mål og omfang samt dens betydning som mekanisme, som gør det muligt kollektivt at anvende oplysningerne
-
ledelsens holdning til formål og principper for informationssikkerhed
-
identificering af generelle og specifikke ansvarsområder for tilvejebringelse af informationssikkerhed
-
links til dokumenter i forbindelse med sikkerhedspolitikker, f.eks. detaljerede sikkerhedsretningslinjer eller regler for brugere
-
Sikkerhedspolitikken skal opfylde visse krav:
-
Korrespondere til national og international lovgivning
-
Indeholde bestemmelser om uddannelse af personale i sikkerhedsspørgsmål
-
Indeholde instruktioner om detektion og forebyggelse af skadelig software
-
Definere konsekvenserne af overtrædelser af sikkerhedspolitikken
-
. politikken
-
overvejer kravene til forretningskontinuitet
-
Der skal defineres en person, der er ansvarlig for proceduren for gennemgang og ajourføring af bestemmelserne i sikkerhedspolitikken
-
Revision af sikkerhedspolitikken skal foretages som følge af følgende tilfælde:
-
ændringer i organisationens organisatoriske infrastruktur
-
ændringer i organisationens tekniske infrastruktur
-
Fravigelser i organisationens organisatoriske infrastruktur er følgende karakteristika omfattet af regelmæssig revision af sikkerhedspolitikken:
-
omkostningen og virkningen af modforanstaltninger på organisationens ydeevne(ISO/IEC 17799:2005)
Rapportering
En retsvidenskabelig rapport fremhæver beviserne i retten, og den hjælper også til at indsamle flere beviser og kan bruges i retsmøder. Rapporten skal indeholde undersøgelsens omfang. En computerforensisk efterforsker skal være opmærksom på typen af computerforensisk rapportering såsom formel rapport, skriftlig rapport, mundtlig rapport og undersøgelsesplan. En formel rapport indeholder de faktiske omstændigheder fra undersøgelsesresultaterne. En skriftlig rapport er som en erklæring eller et affidavit, der kan afgives under ed, så den skal være klar, præcis og detaljeret. En mundtlig rapport er mindre struktureret og er en foreløbig rapport, som omhandler de områder af undersøgelsen, der endnu ikke er dækket. En undersøgelsesplan er et struktureret dokument, der hjælper efterforskeren med at forstå de spørgsmål, der kan forventes, når han/hun skal begrunde beviserne. En undersøgelsesplan hjælper også advokaten med at forstå de termer og funktioner, der blev anvendt i computerforensiske undersøgelser (Nelson, B., et al., 2008). Generelt indeholder en computerforensisk rapport følgende funktioner:
-
Sigtet med rapporten
-
Author of the Report
-
Incident Summary
-
Evidence
-
Analysis
-
Konklusioner
-
Støttedokumenter
Der findes mange kriminaltekniske værktøjer til at generere den kriminaltekniske undersøgelsesrapport, såsom ProDiscover, FTK og EnCase (Nelson, B., et al., 2008).
Slutninger
Denne rapport indeholder, hvordan man udfører den computerforensiske undersøgelse og malwareundersøgelse i forskellige metoder og ved hjælp af forskellige værktøjer. Denne rapport indeholder også ACPO’s fire hovedprincipper og IS017799 sikkerhedspolitiske procedurer, som skal gennemføres i alle organisationer for at forbedre sikkerhedsnetværksarkitekturen. Den analyserer også First Four Step Forensic Investigation-modellen, og hvorfor vi valgte denne model til at gennemføre den kriminaltekniske undersøgelse i denne sag. Den indeholder også vigtige forberedelsestrin, inden undersøgelsen påbegyndes. Derefter har denne rapport en analysedel, hvor vi analyserede de data, som vi indsamlede ved hjælp af forskellige metoder for at nå frem til resultaterne. Denne rapport indeholder også anbefalinger til at undgå sikkerhedsbrud i fremtiden.
Digital kriminalteknisk undersøgelse er en udfordrende proces, fordi hver hændelse adskiller sig fra andre hændelser. En computerforensisk efterforsker skal være kompetent nok i teknisk og juridisk henseende til at gennemføre undersøgelsen. Da det bevismateriale, der leveres af en computerforensisk efterforsker, kan være en vigtig del af sagen, skal efterforskningsrapporten være præcis og detaljeret.
-
7safe, (2013) “Good Practice Guide for Computer-Based Electronic Evidence”, Available at: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Tilgået den 12. januar 2014.
-
ACPO (2013), “Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Tilgængelig på http://www.australiansecuritymagazine.com.au/, Tilgået den 31. december 2013.
-
Aquilina, M.J., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Tilgængelig på http://www.australiansecuritymagazine.com.au/, Tilgået den 31. december 2013.
-
Aquilina, M.J., (2012), (2003), “Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), “Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, “Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), “SQL – en karriere i databasekriminalteknik!”, Tilgængelig på http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, tilgået den 2. januar 2014.
-
Fowler, K., (2007), “Forensic Analysis of a SQL Server 2005 Database Server”, Tilgængelig på https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, tilgået den 2. januar 2014.
-
Han, D.R., (2007), “Forensic Analysis of a SQL Server 2005 Database Server”, Tilgængelig på https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, tilgået den 2. januar 2014.
-
Han, D.R., (2012), “SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, tilgængelig på www.isaca.org/journal, tilgået den 05. januar 2014
-
Hunt, R., (2012), “New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), “Information technology – Security techniques – Code of practice for information security management”, tilgængelig på http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, tilgået den 10. januar 2014.
-
ISO1799, (2005), “ISO 17799 Information and Resource Portal”, Available at http://17799.denialinfo.com/ , Accessed on 10th January 2014.
-
Kendall, K,(2007), “Practical Malware Analysis”, Mandiant Intelligent Information Security, Available at http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accessed on 10th January 2014.
-
Kent, K, and Grance, T., (2006), “Guide to Integrating Forensic Techniques into Incident Response”, Available at: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Tilgængelig den 13. januar 2014.
-
Kent, K., et.al., (2006). “Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., og Adane, D.S., (2011), “Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., og Heiser, J.G. (2010), “Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
-
Microsoft, (2013), “Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et. al., (2008), “Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), “Forensics of a Windows System”, Roche.
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Tilgængelig på:
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Tilgængelig på: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Tilgængelig den 13. januar 2014.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), “NIST Security Self-Assessment Guide for Information Technology Systems” Available at http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Accessed on 9th January 2014.
-
US-CERT, (2012), “Computer Forensics”, Available at http://www.us-cert.gov/reading-room/forensics.pdf, Accessed on 30th December 2013.
-
Venter, J. P., (2006), “Process Flows for Cyber Forensics Training and Operations”, Tilgængelig på http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, tilgået den 30. december 2013.
-
Wong, L.W.,(2006) “Forensic Analysis of the Windows Registry” Tilgængelig på http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf, tilgået den 10. januar 2014