Odmítnutí odpovědnosti: Neprováděli jsme žádné živé vyšetřování. Jednalo se o součást našeho univerzitního úkolu, v jehož rámci jsme se vžili do rolí forenzních vyšetřovatelů a zjišťovali, jaké metody jsou použitelné. Můžete přijít s vlastními zjištěními a případ vyřešit. Snažili jsme se postupovat podle globální metodiky a ilustrovat, jak by měla vypadat základní zpráva z forenzního vyšetřování.
Kredity
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Úvod
Výpočetní technika je hlavní nedílnou součástí každodenního lidského života, a rychle roste, stejně jako počítačová kriminalita, jako jsou finanční podvody, neoprávněné vniknutí, krádeže identity a krádeže duševního vlastnictví. Pro potírání těchto počítačových trestných činů hraje počítačová kriminalistika velmi důležitou roli. „Počítačová forenzní analýza zahrnuje získávání a analýzu digitálních informací pro použití jako důkazů v občanskoprávních, trestních nebo správních věcech (Nelson, B., a dalších, 2008).“
Počítačová forenzní vyšetřování obecně zkoumají data, která by mohla být získána z pevných disků počítačů nebo jiných paměťových zařízení při dodržení standardních zásad a postupů, aby se zjistilo, zda tato zařízení byla ohrožena neoprávněným přístupem, či nikoli. Vyšetřovatelé počítačové forenzní analýzy pracují v týmu, který vyšetřuje incident a provádí forenzní analýzu pomocí různých metodik (např. statické a dynamické) a nástrojů (např. ProDiscover nebo Encase), aby zajistili bezpečnost systému počítačové sítě v organizaci. Úspěšný počítačový forenzní vyšetřovatel musí znát různé zákony a předpisy týkající se počítačových trestných činů ve své zemi (např. zákon o zneužití počítačů z roku 1990 ve Velké Británii) a různé počítačové operační systémy (např. Windows, Linux) a síťové operační systémy (např. Win NT). Podle Nelsona, B., et al., (2008) jsou veřejná vyšetřování a soukromá nebo podniková vyšetřování dvě odlišné kategorie, které spadají pod počítačové forenzní vyšetřování. Veřejná vyšetřování budou provádět vládní agentury a soukromá vyšetřování bude provádět soukromý tým počítačových forenzních expertů. Tato zpráva bude zaměřena na soukromá vyšetřování, protože k incidentu došlo v novém začínajícím malém a středním podniku se sídlem v Lutonu.
Tato zpráva také obsahuje model počítačového vyšetřování, sběr dat a jejich typy, získávání důkazů, forenzní nástroje, vyšetřování škodlivých činů, právní aspekty počítačové forenziky a nakonec tato zpráva také poskytuje nezbytná doporučení, protiopatření a zásady, které zajistí, že tento malý a střední podnik bude umístěn v bezpečném síťovém prostředí.
Případová studie
Nový začínající MSP (malý a střední podnik) se sídlem v Lutonu s modelem e-governmentu si nedávno začal všímat anomálií ve svém účetnictví a evidenci produktů. Provedl prvotní kontrolu systémových souborů protokolu a zjistil řadu podezřelých záznamů a IP adres s velkým množstvím dat odesílaných mimo firewall společnosti. Nedávno také obdržela řadu stížností zákazníků, kteří tvrdí, že se při zpracování objednávky často zobrazuje podivná zpráva a že jsou často přesměrováni na platební stránku, která nevypadá legitimně.
Společnost využívá univerzální balík pro elektronické obchodování (OSCommerce) a má malý tým šesti odborníků na podporu IT, ale domnívá se, že nemá dostatečné odborné znalosti k provedení rozsáhlého malwarového/forenzního šetření.
Vzhledem k rostoucí konkurenci v oblasti hi-tech se společnost snaží zajistit, aby její systémy nebyly ohroženy, a najala digitálního forenzního vyšetřovatele, aby zjistil, zda nedošlo k nějaké škodlivé činnosti, a aby se ujistil, že v jejich systémech není žádný malware.
Vaším úkolem je prošetřit podezření týmu a navrhnout mu, jakým způsobem by mohl dezinfikovat všechny počítače zasažené malwarem, a zajistit, aby nebyly infikovány žádné další počítače v jejich areálu nebo v celé síti. Tým po vás také chce, abyste provedli digitální forenzní šetření a zjistili, zda se vám podaří vypátrat příčinu problémů, a v případě potřeby připravili případ proti pachatelům.
Společnost používá pro své servery systém Windows Server NT. Záplaty aplikuje tým IT podpory každý měsíc, ale tým si všiml, že řada počítačů zřejmě nebyla opravena.
Výstupy
Vaším výstupem v tomto úkolu je zpráva o 5 000 slovech pojednávající o tom, jak byste přistoupili k následujícímu:
– Vyšetřování škodlivého softwaru
– Digitální forenzní vyšetřování
Měli byste probrat obecný přehled metodiky, kterou použijete, a poskytnout odůvodněný argument, proč je zvolená konkrétní metodika relevantní.
Měli byste také probrat postup, který použijete ke shromažďování důkazů, a diskutovat o příslušných pokynech, které je třeba dodržovat při shromažďování digitálních důkazů.
V rámci diskuse obsažené ve vaší zprávě byste měli také poskytnout kritické zhodnocení stávajících nástrojů a technik, které se používají pro digitální forenzní vyšetřování nebo vyšetřování malwaru, a zhodnotit jejich účinnost, přičemž byste měli diskutovat o takových otázkách, jako je konzistentnost přijatých přístupů, dovednosti potřebné pro forenzní vyšetřovatele a problémy spojené se stávajícími metodikami (zejména s ohledem na neexistenci jednotného společného globálního přístupu k provádění takových vyšetřování a problémy, které mohou vzniknout, když je třeba provést vyšetřování, které přesahuje mezinárodní hranice).
Asociace policejních ředitelů (ACPO)
Toto forenzní vyšetřování bude prováděno podle pokynů Asociace policejních ředitelů (ACPO) a také podle jejích čtyř zásad. V případě elektronických důkazů založených na počítačích se jedná o čtyři zásady ACPO. Tyto zásady musí být dodržovány, když osoba provádí počítačové forenzní vyšetřování. Shrnutí těchto zásad je následující (ACPO, 2013);
Zásada č. 1: Data uložená v počítači nebo na paměťovém médiu nesmí být měněna nebo upravována, protože tato data mohou být později předložena soudu.
Zásada 2: Osoba musí být dostatečně kompetentní při manipulaci s původními daty uloženými v počítači nebo na paměťovém médiu, pokud je to nutné, a musí být také schopna podat důkaz vysvětlující význam a průběh svých úkonů.
Zásada 3: Měla by být vytvořena a uchována auditní stopa nebo jiná dokumentace všech procesů použitých u počítačových elektronických důkazů. Nezávislá třetí strana by měla být schopna tyto procesy přezkoumat a dosáhnout stejného výsledku.
Princip 4: Osoba, která je odpovědná za vyšetřování, musí mít celkovou odpovědnost za účtování, že jsou dodržovány zákony a zásady ACPO.
Model počítačového vyšetřování
Podle Kruse II, W.G., a Heisera, J. G. (2010) je počítačové vyšetřování identifikace důkazů, uchování těchto důkazů, jejich extrakce, dokumentace každého procesu a validace těchto důkazů a jejich analýza s cílem nalézt hlavní příčinu a podle ní poskytnout doporučení nebo řešení.
„Počítačová forenzní analýza je nový obor a existuje méně standardizace a konzistence napříč soudy a průmyslem“ (US-CERT, 2012). Každý model počítačové forenziky je zaměřen na určitou oblast, například na prosazování práva nebo zjišťování elektronických důkazů. Neexistuje jediný model digitálního forenzního vyšetřování, který by byl všeobecně přijat. Obecně však bylo přijato, že rámec digitálního forenzního modelu musí být flexibilní, aby mohl podporovat jakýkoli typ incidentů a nových technologií (Adam, R., 2012).
Kent, K., et.al, (2006) vytvořil základní model digitálního forenzního vyšetřování nazvaný Four Step Forensics Process (FSFP) s myšlenkou Ventera (2006), že digitální forenzní vyšetřování mohou provádět i netechnické osoby. Tento model poskytuje větší flexibilitu než jakýkoli jiný model, takže organizace může přijmout nejvhodnější model na základě vzniklých situací. To jsou důvody, proč jsme pro toto vyšetřování zvolili právě tento model. FSFP obsahuje následující čtyři základní procesy, jak je znázorněno na obrázku:
Obrázek 1: Model forenzního vyšetřování FSFP
Zdroj: Kent, K., et.al, (2006)
Značka se šipkou „Zachovat a zdokumentovat důkazy“ naznačuje, že v průběhu vyšetřování musíme zachovat a zdokumentovat všechny důkazy, protože ty mohou být v některých případech předloženy soudu jako důkazy. V následujících částech se budeme zabývat každým procesem nebo fází modelu vyšetřování FSFP.
Rozsah vyšetřování
Rozsah forenzního vyšetřování pro tento případ je následující:
- Identifikovat škodlivé činnosti s ohledem na 5W (Proč, Kdy, Kde, Co, Kdo).
- Zjistit nedostatky v zabezpečení jejich sítě.
- Zjistit dopad, pokud byl síťový systém kompromitován.
- Zjistit případné právní postupy.
- Zajistit nápravná opatření za účelem zpevnění systému.
Právní výzvy vyšetřování
Podle Nelsona, B., et al., (2008) jsou právní výzvy před zahájením forenzního vyšetřování následující:
-
Zjištění, zda je nutná pomoc orgánů činných v trestním řízení, a pokud ano, pak mohou být k dispozici pro pomoc během vyšetřování, jinak jim musíme na konci vyšetřování předložit zprávu o vyšetřování.
-
Získání písemného povolení k provedení forenzního vyšetřování, pokud není přítomen jiný postup povolování reakce na incident.
-
Diskuse s právními poradci s cílem identifikovat potenciální problémy, které mohou vzniknout při nesprávném postupu vyšetřování.
-
Zajištění zohlednění otázek důvěrnosti a soukromí klientů.
Počáteční příprava
Je zřejmé, že před zahájením vyšetřování musíme mít přípravu, abychom mohli vyšetřování efektivně provést. To je považováno za proaktivní opatření při vyšetřování (Murray, 2012). Ve fázi přípravy je třeba provést následující kroky:
-
Shromáždění všech dostupných informací z posuzování incidentu, jako je závažnost incidentu.
-
Zjištění dopadu vyšetřování na podnikání MSP, jako je doba výpadku sítě, doba obnovy po incidentu, ztráta příjmů a ztráta důvěrných informací.
-
Zjištění informací o sítích, síťových zařízeních, jako jsou směrovače, přepínače, rozbočovače atd, dokumentace topologie sítě, počítačů, serverů, brány firewall a schématu sítě.
-
Identifikace externích paměťových zařízení, jako je pen disk, flash disk, externí pevný disk, CD, DVD, paměťové karty a vzdálený počítač.
-
Identifikace forenzních nástrojů, které lze při tomto vyšetřování použít.
-
Zachycení živého síťového provozu v případě, že podezřelé aktivity stále probíhají pomocí nástrojů „netmon“.
-
Dokumentace všech činností během vyšetřování, která může být použita u soudu k ověření postupu, který byl při vyšetřování dodržen.
-
Zobrazení pevného disku cílových zařízení a jejich hashování pomocí MD5 pro zajištění integrity dat.
Sběr
„Fáze sběru je první fází tohoto procesu, jejímž cílem je identifikovat, označit, zaznamenat a získat údaje z možných zdrojů relevantních dat, přičemž je třeba dodržovat pokyny a postupy, které zachovávají integritu dat“ (CJCSM 6510.01B, 2012). Při počítačovém forenzním vyšetřování lze shromáždit dva různé typy dat. Jsou to volatilní data a nevolatilní data (perzistentní data). Volatilní data jsou data, která existují, když je systém zapnutý, a po vypnutí se vymažou, např. paměť RAM (Random Access Memory), registr a mezipaměť. Nestálá data jsou data, která existují v systému při zapnutém nebo vypnutém napájení, např. dokumenty v HD. Vzhledem k tomu, že nestálá data mají krátkou životnost, musí počítačový forenzní vyšetřovatel znát nejlepší způsob, jak je zachytit. Důkazy lze shromažďovat lokálně nebo vzdáleně.
Volatilní data
Následující obrázek ukazuje, jak zachytit volatilní data. Forenzní pracovní stanice musí být umístěna ve stejné síti LAN, kde se nachází cílový počítač, v tomto případě server Windows NT. Na forenzní pracovní stanici lze použít nástroje ‚Cryptcat‘, které naslouchají portu serveru Windows NT. Vytvořte důvěryhodnou optickou jednotku sady nástrojů v serveru Windows NT a otevřete důvěryhodnou konzolu cmd.exe a použijte následující příkaz:
cryptcat <ip address> 6543 -k key
Pro zachycení dat na forenzní pracovní stanici použijeme následující příkaz:
cryptcat -l -p 6543 -k key >> <název souboru>
Obrázek 2: Nastavení sběru nestálých dat
Zdroj: Reino, A., (2012)
Následující tabulka ukazuje nástroje grafického uživatelského rozhraní a jejich použití a výsledek, které lze použít při počítačovém forenzním vyšetřování.
Tabulka 1: Nástroje pro forenzní sběr těkavých dat a jejich použití a výsledek
Zdroj: Reino, A., (2012)
K zachycení těkavých dat používáme také různé nástroje založené na systému Windows, a to následující:
FastDump společnosti HBGray – místní získávání fyzické paměti.
F-Response společnosti HBGray – vzdálené získávání fyzické paměti
ipconfig – shromažďování podrobností o systému subjektu.
netusers a qusers – Identifikace přihlášených uživatelů
doskey/history – Shromažďování historie příkazů
netfile – Identifikace služeb a ovladačů
V neposlední řadě je při forenzním vyšetřování počítače velmi důležité také shromažďování obsahu schránky. Více důkazů lze nalézt ze stále běžícího počítače, takže pokud jsou anomálie stále přítomny v SME, můžeme získat mnoho důležitých důkazů z běžících procesů, síťového připojení a dat, která jsou uložena v paměti. Když je počítač v těkavém stavu, existuje mnoho důkazů, a proto je třeba zajistit, aby postižené počítače nebyly vypnuty, aby bylo možné tyto důkazy shromáždit.
Těkavá data
Po zachycení těkavých dat se budeme zabývat těkavými daty. Prvním krokem při sběru nevolatilních dat je zkopírování obsahu celého cílového systému. Tomuto postupu se také říká „forenzní zobrazování“. Zobrazování pomáhá uchovat původní data jako důkazní materiál bez jakýchkoli poruch nebo změn v datech, ke kterým dochází během forenzního vyšetřování. Forenzní zobrazování vytvoří forenzní nástroje, jako jsou EnCase, ProDiscover a FTK. Forenzní vyšetřovatel se pomocí blokátoru zápisu připojí k cílovému systému a zkopíruje celý obsah cílového disku na jiné úložné zařízení pomocí některého z těchto forenzních nástrojů. Klonování pevného disku není nic jiného než vytvoření duplikátu celého systému. Rozdíl mezi forenzním zobrazováním a klonováním pevného disku spočívá v tom, že k forenznímu zobrazování nelze přistupovat bez forenzních nástrojů, ale ke klonování pevného disku lze snadno přistupovat pomocí připojené jednotky. Klonování pevného disku obsahuje pouze surový obraz, zkopíruje se každý bit a nepřidá se žádný další obsah navíc. Forenzní obraz obsahuje metadata, tj. hashe a časové značky, a komprimuje všechny prázdné bloky. Forenzní zobrazování bude hashovat pomocí MD5 nebo SHA-2, aby byla zajištěna integrita digitálních důkazů (Nelson, B., et al., 2008).
Sběr dat lze provádět při offline vyšetřování a online vyšetřování. Forenzní zobrazování lze provádět při offline vyšetřování. Živý síťový provoz lze provádět při online vyšetřování pomocí nástrojů ethereal nebo Wireshark. Protokoly brány firewall, protokoly antivirového programu a protokoly řadiče domény budou shromažďovány pro vyšetřování v rámci nevolatilního sběru dat. Dále budou shromažďovány protokoly webového serveru, protokoly událostí systému Windows, protokoly databází, protokoly IDS a protokoly aplikací. Jakmile shromáždíme všechny digitální důkazy, je třeba je zdokumentovat v dokumentaci logů řetězce úschovy. Dokumentace chain of the custody log slouží k zachování integrity důkazů od začátku do konce vyšetřování, dokud nebude předložena tato zpráva o vyšetřování (Nelson, B., et al., 2008).
Před provedením dalších procesů musíme vytvořit bitový obraz disku, který zpřístupní celý svazek a zkopíruje původní médium včetně smazaných souborů. Po vytvoření obrazu disku bychom měli vše zaheslovat, čímž se ujistíme, že data jsou autentická a jejich integrita bude zachována po celou dobu vyšetřování. Hodnoty hash musí být zaznamenány na více místech a musíme zajistit, abychom od okamžiku shromáždění dat až do konce vyšetřování neprováděli žádné změny v datech. Většina nástrojů pomáhá tohoto cíle dosáhnout tím, že k médiím přistupuje pouze ve stavu pro čtení (SANS, 2010). Pro digitální forenzní vyšetřování je v tomto případě nutné získat pevné disky cílového systému, externí paměťová zařízení a pevný disk serveru Windows NT.
Vyšetřování
Po shromáždění všech dostupných důkazů musíme provést zkoumání pomocí různých nástrojů počítačového forenzního vyšetřování. Zkoumáme také souborový systém, registr systému Windows, síť a forenzní zkoumání databáze, a to následovně:
Zkoumání souborového systému
NTFS je souborový systém nové technologie a disk NTFS je soubor. MFT je hlavní tabulka souborů, která obsahuje informace o všech souborech a discích a je také prvním souborem v systému NTFS. Záznamy v MFT se také nazývají metadata. Metadata jsou údaje o datech (Nelson, B., et. al., 2008). Soubory mohou být v MFT uloženy dvěma způsoby: rezidentní a nerezidentní. Soubor, který má méně než 512 bajtů, může být v MFT uložen jako rezidentní soubor a soubor, který má více než 512 bajtů, může být uložen mimo MFT jako nerezidentní soubor. Když je soubor v systému Windows NT odstraněn, operační systém jej přejmenuje a přesune do koše s jedinečnou identitou. OS ukládá informace o původní cestě a původním názvu souboru do souboru info2. Pokud je však soubor odstraněn z koše, pak jsou přidružené clustery označeny jako dostupné pro nová data. Systém NTFS je efektivnější než systém FAT, protože rychleji obnovuje své smazané místo. Disky NTFS jsou datovým tokem, což znamená, že je lze připojit k jinému existujícímu souboru. Soubor datového toku lze uložit takto:
C:echo text_mess > soubor1.txt:soubor2.txt
Tento soubor lze načíst následujícím příkazem:
C:more < soubor1.txt:file2.txt
W2K.Stream a Win2K.Team jsou viry, které byly vyvinuty pomocí datového toku a byly vyvinuty se záměrem změnit původní datový tok. Jako vyšetřovatel musíme důkladně znát souborové systémy Windows FAT a NTFS (Nelson, B., et. al., 2008).
Zkoumání registru systému Windows
Podle (Carvey, H., 2005) lze s registrem zacházet jako se záznamovým souborem, protože obsahuje údaje, které může forenzní vyšetřovatel získat přidružené hodnoty klíče se nazývají čas „Lastwrite“, který je uložen jako FILETIME a je považován za čas poslední modifikace souboru. U souborů je často obtížné zjistit přesné datum a čas změny souboru, ale hodnota Lastwrite ukazuje, kdy byl registr naposledy změněn. Fantastický bude přehled některých určitých kroků (Carvey, H., 2005), které jsou uvedeny níže, k analýze registru Windows organizace, aby se zajistilo, že problém uvnitř i vně organizace je znám a je řešen za účelem ochrany a udržení dobrého jména společnosti.
Registr Windows je uspořádání databází v počítači používané společností Microsoft v systémech Windows 98, Windows CE, Windows NT a Windows 2000 k ukládání konfigurace uživatele nebo uživatelských aplikací a hardwarových zařízení, které se používá jako referenční bod při provádění programu nebo procesů (Windows, 2013). Společná struktura registru systému Windows je rozdělena do „úlů“, kterými jsou:
-
HKEY_CLASSES_ROOT: zajišťuje spouštění požadovaných programů.
-
HKEY_CURRENT_USER: obsahuje obecné informace o uživateli, který je právě přihlášen do systému.
-
HKEY_LOCAL_MACHINE: obsahuje informace o hardwaru, jednotkách atd. systému.
-
HKEY_USERS: obsahuje veškeré informace o uživatelích v daném systému.
-
HKEY_CURRENT_CONFIG: uchovává informace o současné konfiguraci systému.
Registr systému Windows se skládá z těkavých a netěkavých informací. To znamená, že vyšetřovatel musí být minimálně obeznámen s jednotlivými významy a funkcemi úlů, klíčů, dat a hodnot registru systému Window, než se pustí do forenzního vyšetřování počítače, aby získal úspěšnou zprávu o forenzním vyšetřování.
Umístění automatického spuštění: je umístění v registru, kde jsou nastaveny aplikace, které se mají spouštět bez podnětu uživatele. Díky této funkci se může malware, který ovlivňuje Luton SME, trvale spouštět při zapnutí počítače bez přímé interakce uživatele, protože byl již naprogramován tak, aby se sám autostartoval, nebo když uživatel spustí některé konkrétní příkazy nebo procesy.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option je registr systému Windows, ve kterém může útočník použít klíč pro přesměrování původní kopie aplikace na její trojskou kopii (Carvey, H., 2005). Luton SME může být pod tímto útokem: přesměrování platební stránky zákazníka na nelegitimní.
Forenzní vyšetřovatel může prozkoumat umístění autostartu, aby zjistil, zda problém Luton SME vyplývá z akce provedené uživatelem, malwarem nebo útočníkem na organizaci. Podle (Carvey, H., 2005) je spolehlivým způsobem přístupu k umístění autostartu použití nástrojů AutoRuns od společnosti SysInternals.com, které mohou poskytnout výpis umístění autostartu.
Aktivita uživatele: Akce a činnosti uživatele lze zkoumat v koši HKEY_CUREENT_USER, který je vytvořen z koše HKEY_USERSID. Informace o uživateli jsou mapovány do hřebene HKEY_CURRENT_USER. V souboru NTUSER.DAT jsou uloženy informace o nastaveních specifikace registru uživatele. Prozkoumání tohoto hive poskytne forenznímu vyšetřovateli dobré vodítko k činnostem a akcím prováděným uživatelem.
Seznam naposledy použitých (MRU): MRU uchovává poslední konkrétní akce provedené uživatelem a sleduje činnosti pro budoucí použití. Například HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU uchovává seznam provedených příkazů spuštěných uživatelem. Každý spuštěný příkaz v poli spuštění přidá do tohoto koše položku s hodnotou klíče, jak je znázorněno níže:
Obrázek3: Obsah klíče ExplorerRunMRU.
Zdroj: Carvey, H., (2005)
Tento klíč může forenzní vyšetřovatel studovat, aby získal čas posledního zápisu každého příkazu ze seznamu MRU, jak je uvedeno výše. Díky tomu bude vyšetřovatel SME Luton schopen z registru analyzovat, zda se jednalo o činnost uživatele, akci malwaru nebo útok, který ovlivňuje organizaci.
UserAssist: podle (Carvey, H., 2005) se UserAssist, který se nachází v úlu HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist, skládá ze dvou klíčů, které běžně vypadají jako globální jedinečné identifikátory, které uchovávají šifrované záznamy o každém objektu, aplikaci atd. ke kterým uživatel v systému přistupoval. Pokud vyšetřovatel přistoupil k zašifrovanému záznamu, který již není definitivní, může to znamenat nějakou akci, kterou uživatel provedl, aby spustil malware prostřednictvím aplikace nebo nějaké činnosti, kterou mohl provést.
Vyměnitelné úložiště USB: Podle Farmera, College a Vermonta (2008) jsou všechna zařízení připojená k systému vedena v registru počítače pod následujícím klíčem HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Na následujícím obrázku je uveden příklad ID jednotky USB flash disku:
Obrázek4: Příklad obsahu klíče USBSTOR, zobrazující ID instance zařízení.
Zdroj: Carvey, H., (2005)
Pomocí úlů připojeného disku získá vyšetřovatel vodítko, když analyzuje obsah ID zařízení vedený v registru, aby zjistil, které zařízení bylo připojeno v organizaci Luton SME. Při vytrvalém zkoumání jednotlivých klíčů hodnot může vyšetřovatel identifikovat vyměnitelná úložná zařízení USB a namapovat je na předponu parentid.
Bezdrátové SSID: Podle (Carvey, H., 2005) lze SSID bezdrátových sítí používaných v počítači nalézt v položce HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Při navigaci na hodnoty klíčů obsahují podklíče, které vypadají jako globálně jedinečné identifikátory, po jejichž otevření může vyšetřovatel přejít na ActiveSettings, které odhalí jednotlivé bezdrátové SSID v podobě binárního datového typu. Po kliknutí pravým tlačítkem myši za účelem úpravy odhalí SSID v prostém písemném formátu. Ačkoli IP adresu a další síťové informace lze nalézt v položce HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, vyšetřovatel může tyto informace použít k tomu, aby spojil uživatele v organizaci Luton SME s určitým časovým rámcem, pokud se IP adresa dané osoby objeví v rámci výše uvedeného registru Window.
Registr Windows může být také důležitým zdrojem důkazů při forenzním vyšetřování, pokud vyšetřovatel ví, kde získat dostupné údaje, které lze dobře prezentovat organizaci Luton SME. Společnost Fantastic se pokusila analyzovat některé základní registry systému Windows, které mohly způsobit přesměrování její webové stránky, sledovala aktivitu uživatelů a všechny potřebné programy, které uživatel spustil, zařízení používaná na serveru nebo některém z počítačů organizace a také odhalila IP adresu uživatelů.
Síťové forenzní zkoumání
Získávání, shromažďování a analýza událostí, které probíhají v síti, se označuje jako síťová forenzní analýza. Někdy se jí také říká forenzní analýza paketů nebo vytěžování paketů. Základní cíl síťové forenziky je stejný, a to shromažďovat informace o paketech v síťovém provozu, jako je pošta, dotazy, prohlížení webového obsahu atd. a tyto informace uchovávat u jednoho zdroje a provádět další kontrolu (WildPackets, 2010).
Síťovou forenziku lze použít dvěma hlavními způsoby. První z nich se týká bezpečnosti, kdy je síť sledována z hlediska podezřelého provozu a jakéhokoli druhu narušení. Je možné, že útočník vymaže všechny soubory protokolu z infikovaného hostitele, takže v této situaci přicházejí při forenzní analýze ke slovu důkazy založené na síti. Druhá aplikace síťové forenziky souvisí s prosazováním práva, kdy lze na základě zachyceného síťového provozu pracovat se shromažďováním souborů, které byly přeneseny prostřednictvím sítě, vyhledáváním klíčových slov a analýzou lidské komunikace, která probíhala prostřednictvím e-mailů nebo jiných podobných relací. (Hunt, 2012)
Nástroje a techniky síťové forenziky
Můžeme provést jakoukoli operaci s forenzně spolehlivým zaváděcím diskem DVD/CD-ROM, jednotkou USB Flash nebo dokonce disketou. Nejprve musíme provést výpis paměti, a to raději pomocí dostatečně velkého disku USB Flash. Když se chystáme shromažďovat nestálá data, musíme také provést posouzení rizik, abychom vyhodnotili, zda je bezpečné a relevantní shromažďovat taková živá data, která mohou být při vyšetřování velmi užitečná. V průběhu celého procesu bychom měli používat forenzní sady nástrojů, protože to pomůže splnit požadavky forenzního vyšetřování. Tyto nástroje by měly být důvěryhodné a lze je pořídit od volně šířených až po komerční. (7safe, 2013)
Některé velmi důležité a diskrétní informace by měly být shromažďovány z běžícího počítače pomocí důvěryhodných nástrojů, jako jsou:
-
Výpisy procesů.
-
Výpisy služeb.
-
Informace o systému.
-
Přihlášení a registrovaní uživatelé.
-
Síťová připojení.
-
Informace o registru.
-
Binární výpis paměti.
Existuje mnoho různých druhů síťových forenzních nástrojů, z nichž každý má jiné funkce. Některé jsou pouze sniffery paketů a jiné se zabývají identifikací, snímáním otisků prstů, lokalizací, mapováním, e-mailovou komunikací, webovými službami atd. V následující tabulce jsou uvedeny některé open-source nástroje, které lze použít pro síťovou forenzní analýzu, a jejich funkce. (Hunt, 2012)
Nástroj | Platforma | Webová stránka | Atributy |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: Filter & collect; L: Log analysis; R: Reassembly of data stream; C: Correlation of data; A: Application Layer view
Tabulka 2: Network Forensic Tools
Source: (Hunt, 2012)
Forenzní zkoumání databáze
Báze dat je soubor dat nebo informací, který je reprezentován ve formě souborů nebo souboru souborů. Získání dat z databáze lze provést pomocí souboru dotazů. Forenzní analýzu databáze lze definovat jako použití počítačového vyšetřování a analytických technik ke shromažďování důkazů z databáze za účelem jejich předložení soudu. Forenzní vyšetřování je třeba provádět na databázích, protože databáze obsahuje citlivé údaje, u nichž existuje vysoká pravděpodobnost narušení bezpečnosti ze strany narušitelů s cílem získat tyto osobní údaje.
V případové studii je uvedeno, že z databáze je odesíláno velké množství údajů, takže nyní je úkolem týmu Fantastic provést forenzní vyšetřování databáze pomocí forenzních nástrojů. Forenzní analýza databází se zaměřuje na identifikaci, uchování a analýzu dat. Podle Khanuja, H.K., a Adane, D.S., (2011) musí uživatelé pro přístup k databázi získat od databázových serverů oprávnění, jako je autorizace a autentizace. Jakmile je autorizace provedena, může k datům přistupovat pouze uživatel, a pokud je to zamýšleno, může data měnit. Pokud nyní zkontrolujeme auditní protokoly databáze, můžeme získat seznam uživatelů, kteří získali oprávnění k přístupu k datům. Tým musí v databázi vyhledat IP adresy, které jsou vzdáleně připojeny, protože existuje šance, že data změní oprávněný nebo neoprávněný uživatel.
Podle Dave, P., (2013) můžeme pomocí vyšetřování zpětně vysledovat operace DDL (Data Definition Language), které se používají k definování struktury databáze, a DML (Data Manipulation Language), které se používají ke správě dat v databázi, a můžeme zjistit, zda v databázi proběhly nějaké transakce před a po. Toto šetření nám také pomůže zjistit, zda existují datové řádky, které uživatel úmyslně smazal, a je schopno je obnovit, a také nám pomůže prokázat nebo vyvrátit, že v databázi došlo k narušení bezpečnosti dat, a pomůže nám určit rozsah narušení databáze. Forenzní nástroj Windows v1.0.03 se používá s upraveným konfiguračním souborem, který provede příkazy DMV (Distributed Management Views) a DBCC (Database Consistency Checker) ke shromáždění údajů, které jsou dostatečné k prokázání nebo vyvrácení narušení, jak bylo uvedeno dříve (Fowler, K., 2007).
Analýza
Nejprve musíme analyzovat důkazy, které jsme shromáždili a prozkoumali. Prozkoumáme data, abychom zjistili, zda se v nich vyskytují skryté soubory nebo neobvyklé soubory, či nikoli. Dále zda není spuštěn nějaký neobvyklý proces a zda nejsou neobvykle otevřeny nějaké zásuvky. Podíváme se také, zda se neobvykle nevyskytly nějaké požadavky aplikací. Pak zkontrolujeme účet, zda se neprojevuje nějaký neobvyklý účet nebo ne. Zjistíme také úroveň záplatování systému, zda byl aktualizován, nebo ne. Podle výsledku těchto analýz zjistíme, zda jsou prezentovány nějaké škodlivé aktivity, nebo ne. Poté vypracujeme další strategii forenzního vyšetřování, například kompletní analýzu paměti, kompletní analýzu souborových systémů, korelaci událostí a analýzu časové osy (Nelson, B., et. al., 2008). Podle této případové studie jsou v jejich síťovém systému přítomny škodlivé aktivity a potvrdila to i naše počáteční analýza. Abychom zjistili schopnosti škodlivého kódu a jeho cíl, musíme provést analýzu spustitelných souborů malwaru. Analýzu spustitelného malwaru lze rozdělit na statickou analýzu a analýzu chování.
Analýza malwaru
Podle zprávy společnosti Verizon „2012 Data Breach Investigations Report“ trvalo 99 % zranitelností, které vedly ke kompromitaci dat, několik dní nebo méně, zatímco u 85 % trvalo vyšetřování několik týdnů. To je pro bezpečnostní oddělení vážná výzva, protože útočníci dostanou spoustu času na práci v kompromitovaném prostředí. Více „volného času“ vede k většímu množství ukradených dat a závažnějším škodám. Důvodem je především skutečnost, že současná bezpečnostní opatření nejsou určena k řešení složitějších hrozeb (2012 Data Breach Investigations Report, Verizon, 2012).
Podstata při provádění vyšetřování na místě činu malwaru: určité části počítače se systémem Windows jsou na dobré cestě k tomu, aby uchovávaly data identifikující instalaci a využití malwaru. Právní zkoumání vyměněných rámců zahrnovalo audit hodnot hash záznamů, záměn podpisů, zabalených souborů, protokolů o kolizích, bodů obnovení systému a souboru stránek. Světové zkoumání souborových systémů a protokolů událostí může být zaměřeno na rozlišení cvičení v době, kdy byl malware v systému animován. Pokročilí specialisté mohou navíc zkontrolovat registr na neobvyklé vstupy, například v oblastech automatického spouštění, a úpravy v době instalace malwaru. Hledání klíčových slov může být provedeno za účelem odhalení odkazů na malware a asociací s jinými vyjednanými hostiteli. Jsou rozpoznány běžné vektory útoku, včetně příloh e-mailů, historie procházení webu a neoprávněných přihlášení.
Podle knihy Syngress „Malware Forensics – Investigating and Analyzing Malicious Code, 2003“ by mělo být provedeno vyšetřování na základě následujících údajů:
-
Vyhledat známý škodlivý software
-
Přezkoumat nainstalované programy
-
Přezkoumat přednastavení
-
Přezkoumat spustitelné soubory
-
Přezkoumat automatickýstart
-
Prohlídka naplánovaných úloh
-
Prohlídka protokolů
-
Prohlídka uživatelských účtů
-
Prohlídka souborového systému
-
Examine Registry
-
Restore Points
-
Keyword Searching
.
Před zahájením analýzy malwaru, musíme vytvořit prostředí pro analýzu malwaru, například VMware a Norton Ghost. VMware je prostředí pro analýzu malwaru založené na virtuálním prostředí a Norton Ghost je specializované prostředí pro analýzu malwaru.
Statická analýza
Statická analýza je typ analýzy malwaru, který se používá k provedení analýzy, aniž by se spustilo programování malwaru. Statická analýza je z hlediska bezpečné analýzy lepší než dynamická analýza. Vzhledem k tomu, že malwarový program není spuštěn, neexistuje obava z odstranění nebo změny souborů. Statickou analýzu malwaru je vždy nejlepší provádět v jiném operačním systému, kde není malware určen ke spuštění nebo ovlivnění. Protože vyšetřovatel může náhodně dvakrát kliknout na spuštění malwarového programu a ten ovlivní systém. Existuje mnoho způsobů, jak provést statickou analýzu, například otisk souboru, skenování virů, detekce balíčků, řetězce, formát souboru uvnitř FE a rozebrání (Kendall, K., 2007).
Dynamická analýza
Dynamická analýza je typ analýzy malwaru, při které se spouští kód malwaru a pozoruje se jeho chování. Nazývá se také analýza chování malwaru. Dynamickou analýzu není bezpečné provádět, pokud nejsme připraveni obětovat prostředí pro analýzu malwaru. Malware můžeme analyzovat pouhým sledováním chování funkcí malwaru. Existuje mnoho nástrojů pro provádění dynamické analýzy malwaru, ale nejpoužívanějšími a freewarovými nástroji jsou Process Monitor od společnosti SysInternals a Wireshark (Kendall, K., 2007).
Podle Kendalla, K., (2007) téměř ve všech případech malwaru nalezne jednoduchá statická a dynamická analýza malwaru všechny odpovědi, které budou vyšetřovatelé malwaru pro daný kód malwaru potřebovat.
Zjištění
Po našem vyšetřování shrnujeme naše zjištění následovně:
-
Identifikovali jsme trvalý vzdálený přístup útočníka k počítačům společnosti.
-
Forenzní analýza zjistila, že systémy byly kompromitovány.
-
V některých systémech nebyly nainstalovány opravy operačního systému.
-
V napadeném systému byl nalezen podezřelý malware.
-
Identifikace tohoto malwaru a jeho funkčnost &cíl malwaru nás vedl k závěru, že se jedná o „spamovací“ malware.
-
Zjistili jsme, že útočníci měli přístup do systémů klienta pomocí malwaru tím, že v příslušné webové stránce poskytli odkaz na platební bránu.
Nápravná opatření
Byly zváženy výše uvedené nejčastější cesty škodlivého softwaru do sítě. Z výše uvedeného je možné učinit dva důležité závěry:
-
Většina popsaných způsobů nějakým způsobem souvisí s lidským faktorem, proto školení zaměstnanců a pravidelná školení o bezpečnosti zvýší bezpečnost sítě;
-
Časté případy nabourání legitimních stránek vedou k tomu, že i kompetentní uživatel může infikovat svůj počítač. Proto se dostávají do popředí klasická opatření ochrany: antivirový software, včasná instalace posledních aktualizací a monitorování internetového provozu.
Podle Shiner, D.L.D., a Cross, M., (2002) existují hlavní protiopatření na ochranu před malwarem:
-
Ověřování a ochrana heslem
-
Antivirový software
-
Firewall (hardware nebo software)
-
DMZ (demilitarizovaná zóna)
-
IDS (Intrusion Detection System)
-
Packetové filtry
-
Směrovače a přepínače
-
Proxy servery
-
VPN (virtuální privátní sítě)
-
Zaznamenávání a audit
-
Časová kontrola přístupu
-
Vlastní software/hardware není veřejně dostupný
V našem případě, nejužitečnější jsou následující:
-
Firewall
-
Záznamy a audit
Firewall kontroluje všechny webové stránky vstupující do počítače uživatele. Každá webová stránka je zachycena a analyzována bránou firewall na přítomnost škodlivého kódu. Pokud webová stránka, na kterou uživatel přistupuje, obsahuje škodlivý kód, je přístup k ní zablokován. Současně se zobrazí oznámení, že požadovaná stránka je infikovaná. Pokud webová stránka neobsahuje škodlivý kód, je uživateli okamžitě zpřístupněna.
Pod pojmem protokolování jsme měli na mysli shromažďování a ukládání informací o událostech, ke kterým dochází v informačním systému. Například kdo a kdy se pokusil přihlásit do systému a jak tento pokus skončil, kdo a jaké informační zdroje použil, co a kdo modifikoval informační zdroje a mnoho dalších.
Audit je analýza nashromážděných dat, prováděná promptně, téměř v reálném čase (Shiner, D.L.D., a Cross, M., 2002). Zavedení protokolování a auditu má tyto hlavní cíle:
-
Odpovědnost uživatelů a správců;
-
Poskytnutí možností rekonstrukce událostí;
-
Odhalení pokusů o porušení bezpečnosti informací;
-
Poskytnutí informací pro identifikaci a analýzu problémů.
Bezpečnostní politiky
Nejúplnější kritéria pro hodnocení bezpečnostních mechanismů na úrovni organizace jsou uvedena v mezinárodní normě ISO 17799: Code of Practice for Information Security Management, přijaté v roce 2000. Norma ISO 17799 je mezinárodní verzí britské normy BS 7799. Norma ISO 17799 obsahuje praktická pravidla pro řízení bezpečnosti informací a lze ji použít jako kritéria pro hodnocení bezpečnostních mechanismů na úrovni organizace, včetně administrativních, procedurálních a fyzických bezpečnostních opatření (ISO/IEC 17799:2005).
Praktická pravidla jsou rozdělena do následujících částí:
-
bezpečnostní politika;
-
organizace bezpečnosti informací;
-
řízení majetku;
-
bezpečnost lidských zdrojů;
-
fyzická bezpečnost a bezpečnost prostředí;
-
řízení komunikací a provozu;
-
řízení přístupu;
-
pořizování, vývoj a údržba informačních systémů;
-
řízení incidentů v oblasti bezpečnosti informací;
-
řízení kontinuity provozu;
-
soulad.
Tyto části popisují bezpečnostní mechanismy na organizační úrovni, které jsou v současné době implementovány ve vládních a komerčních organizacích po celém světě (ISO1799, 2005).
Po zvážení výše uvedené potřeby určité kombinace obchodních požadavků na internet vyvstává několik otázek. Jaká softwarová a hardwarová a organizační opatření musí být implementována, aby splňovala potřeby organizace? Jaké je riziko? Jaké by měly být etické normy pro organizaci, aby mohla plnit své úkoly pomocí internetu? Kdo by za to měl být zodpovědný? Základem odpovědí na tyto otázky je koncepční bezpečnostní politika organizace (Swanson, M., 2001).
V další části jsou uvedeny fragmenty hypotetických bezpečnostních politik bezpečné práce na internetu. Tyto fragmenty byly navrženy na základě analýzy hlavních typů bezpečnostních zařízení.
Bezpečnostní politiky lze rozdělit do dvou kategorií: technická politika realizovaná pomocí hardwaru a softwaru a administrativní politika, kterou provádějí lidé používající systém a lidé, kteří jej spravují (Swanson, M., 2001).
Běžná bezpečnostní politika organizace:
-
Každý informační systém musí mít bezpečnostní politiku
-
Bezpečnostní politika musí být schválena vedením organizace
-
Bezpečnostní politika by měla jednoduchou a srozumitelnou formou oslovit všechny zaměstnance
-
Bezpečnostní politika by měla obsahovat:
-
definici bezpečnosti informací, její hlavní cíle a rozsah i její význam jako mechanismu, který umožňuje kolektivní využívání informací
-
postoj vedení k cílům a zásadám bezpečnosti informací
-
určení obecné a konkrétní odpovědnosti za zajištění bezpečnosti informací
-
odkazy na dokumenty související s bezpečnostní politikou, jako jsou podrobné bezpečnostní pokyny nebo pravidla pro uživatele
-
Bezpečnostní politika musí splňovat určité požadavky:
-
odpovídat národním a mezinárodním právním předpisům
-
obsahovat ustanovení o školení personálu v otázkách bezpečnosti
-
obsahovat pokyny k odhalování a prevenci škodlivého softwaru
-
definovat důsledky porušení bezpečnostních zásad politiky
-
zohlednit požadavky na kontinuitu provozu
-
Musí být definována osoba, která odpovídá za postup revize a aktualizace ustanovení bezpečnostní politiky
-
Revize bezpečnostní politiky musí být provedena v důsledku následujících případů:
-
změny v organizační infrastruktuře organizace
-
změny v technické infrastruktuře organizace
-
Předmětem pravidelné revize bezpečnostní politiky jsou následující charakteristiky:
-
náklady a dopad protiopatření na výkonnost organizace(ISO/IEC 17799:2005)
Zpráva
Soudní zpráva upozorňuje na důkazy u soudu a pomáhá také při shromažďování dalších důkazů a může být použita při soudním jednání. Zpráva musí obsahovat rozsah vyšetřování. Počítačový forenzní vyšetřovatel musí znát typy počítačových forenzních zpráv, jako je formální zpráva, písemná zpráva, ústní zpráva a plán zkoumání. Formální zpráva obsahuje fakta z výsledků šetření. Písemná zpráva je jako prohlášení nebo místopřísežné prohlášení, které lze podepsat pod přísahou, takže musí být jasná, přesná a podrobná. Ústní zpráva je méně strukturovaná a jedná se o předběžnou zprávu, která se zabývá dosud neprobranými oblastmi šetření. Plán šetření je strukturovaný dokument, který vyšetřovateli pomáhá pochopit otázky, které lze očekávat při zdůvodňování důkazů. Plán zkoumání také pomáhá vyšetřovateli porozumět termínům a funkcím, které byly použity při počítačovém forenzním vyšetřování (Nelson, B., et al., 2008). Obecně počítačová forenzní zpráva obsahuje následující funkce:
-
Účel zprávy
-
Autor zprávy
-
Souhrn incidentu
-
Důkazy
-
Analýza
-
.ZávěryDoprovodné dokumenty
Existuje mnoho forenzních nástrojů pro vytvoření zprávy z forenzního šetření, například ProDiscover, FTK a EnCase (Nelson, B., et al., 2008).
Závěry
Tato zpráva obsahuje návod, jak provádět forenzní vyšetřování počítače a vyšetřování malwaru různými metodami a pomocí různých nástrojů. Tato zpráva také obsahuje čtyři hlavní postupy ACPO a bezpečnostní politiku IS017799, které musí být zavedeny v každé organizaci, aby se zlepšila bezpečnostní architektura sítě. Analyzuje také model forenzního vyšetřování v prvních čtyřech krocích a důvody, proč jsme tento model zvolili pro provedení forenzního vyšetřování v tomto případě. Obsahuje také důležité přípravné kroky před zahájením vyšetřování. Dále má tato zpráva analytickou část, kde jsme analyzovali data, která jsme shromáždili různými metodami, abychom získali zjištění. Tato zpráva obsahuje také doporučení, jak se v budoucnu vyhnout narušení bezpečnosti.
Digitální forenzní vyšetřování je náročný proces, protože každý incident se liší od jiných incidentů. Počítačový forenzní vyšetřovatel musí mít dostatečné technické a právní znalosti, aby mohl vyšetřování provést. Vzhledem k tomu, že důkazy, které poskytuje počítačový forenzní vyšetřovatel, mohou být důležitou součástí případu, musí být zpráva o vyšetřování přesná a podrobná.
-
7safe, (2013) „Good Practice Guide for Computer-Based Electronic Evidence“ (Průvodce správnou praxí pro elektronické důkazy založené na počítačích), dostupné na adrese: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, přístup 12. ledna 2014.
-
ACPO (2013), „Good Practice Guide for Computer-Based Electronic Evidence“, V4.0
-
Adams, R., (2012), „Evidence and Digital Forensics“, Australian Security Magazine, dostupné na http://www.australiansecuritymagazine.com.au/, přístup 31. prosince 2013.
-
Aquilina, M.J., (2003), „Malware Forensics, Investigating and Analyzing Malicious Code“, Syngress,
-
Carvey, H., (2005), „Windows Forensics and Incident Recovery“, Boston: Pearson Education Inc.
-
Případové studie, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, „Cyber Incident Handling Program“, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), „SQL – kariéra v databázové kriminalistice!“, Dostupné na http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, přístup 2. ledna 2014.
-
Fowler, K., (2007), „Forenzní analýza databázového serveru SQL Server 2005“, Dostupné na https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, přístup 2. ledna 2014.
-
Han, D.R., (2012), „SME Cyber security and the Three Little Pigs“ (Kybernetická bezpečnost malých a středních podniků a tři malá prasátka), časopis ISACA, svazek 6, dostupné na www.isaca.org/journal, přístup 5. ledna 2014
-
Hunt, R., (2012), „New Developments In Network Forensics – Tools and Techniques“, New Zealand, IEEE, str. 377 – 381.
-
ISO/IEC 17799:2005, (2005), „Information technology – Security techniques – Code of practice for information security management“, dostupné na http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, přístup 10. ledna 2014.
-
ISO1799, (2005), „ISO 17799 Information and Resource Portal“, Dostupné na http://17799.denialinfo.com/ , Přístup 10. ledna 2014.
-
Kendall, K,(2007), „Practical Malware Analysis“, Mandiant Intelligent Information Security, Dostupné na http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Přístup 10. ledna 2014.
-
Kent, K, and Grance, T., (2006), „Guide to Integrating Forensic Techniques into Incident Response“ (Průvodce integrací forenzních technik do reakce na incidenty), Dostupné na adrese: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Přístup 13. ledna 2014.
-
Kent, K., et.al., (2006). „Guide to Integrating Forensic Techniques into Incident Response“, National Institute of Standards and Technology (Ed.) (svazek 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., and Adane, D.S., (2011), „Database Security Threats and Challenges in Database Forensic: A Survey“, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., and Heiser, J.G. (2010), „Computer Forensics: Incident Response Essentials“, 14. vydání, Indianapolis: Pearson Education
-
Microsoft, (2013), „Windows Registry Information for Advanced Users“ Dostupné na https://support.microsoft.com/kb/256986, Přístup 10. ledna 2014
-
Nelson, B., et. al., (2008), „Guide to Computer Forensics and Investigations“, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forenzní průvodce reakcí na incidenty pro technické pracovníky. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), „Forenzní vyšetřování systému Windows“, Roche.
-
SANS, (2010), „Integrating Forensic Investigation Methodology into eDiscovery“, dostupné na: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Přístup 13. ledna 2014.
-
Shiner, D.L.D., a Cross, M., (2002), “ Scene of the Cybercrime“, 2. vydání, Syncress: Burlington.
-
Swanson, M., (2001), „NIST Security Self-Assessment Guide for Information Technology Systems“ Dostupné na http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, přístup 9. ledna 2014.
-
US-CERT, (2012), „Computer Forensics“, Dostupné na http://www.us-cert.gov/reading-room/forensics.pdf, přístup 30. prosince 2013.
-
Venter, J. P., (2006), „Process Flows for Cyber Forensics Training and Operations“, Dostupné na http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, přístup 30. prosince 2013.
-
Wong, L.W.,(2006) „Forensic Analysis of the Windows Registry“ Dostupné na http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Přístup 10. ledna 2014
.