Disclaimer: Emme ole suorittaneet mitään live-tutkintaa. Tämä oli osa yliopistotehtäväämme, jossa otimme rikostutkijan roolin ja määrittelimme soveltuvat menetelmät. Olette tervetulleita tekemään omat havaintonne ja ratkaisemaan tapauksen. Yritimme noudattaa yleisiä menetelmiä ja havainnollistaa, miltä rikosteknisen tutkinnan perusraportin pitäisi näyttää.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Esittely
Tietokonetekniikka on merkittävä kiinteä osa ihmisen jokapäiväistä elämää, ja se kasvaa nopeasti, samoin kuin tietokonerikokset, kuten talouspetokset, luvaton tunkeutuminen, identiteettivarkaudet ja henkiset varkaudet. Tietotekniikkaan liittyvien rikosten torjumiseksi tietotekniikan rikostekniikalla on erittäin tärkeä rooli. ”Computer Forensics käsittää digitaalisen tiedon hankkimisen ja analysoinnin käytettäväksi todisteena siviili-, rikos- tai hallintotapauksissa (Nelson, B., ym, 2008).”
Tietokoneen rikosteknisessä tutkimuksessa tutkitaan yleensä tietoja, jotka on voitu ottaa tietokoneen kovalevyiltä tai muilta tallennuslaitteilta standardikäytäntöjä ja -menettelyjä noudattaen, jotta voidaan määrittää, onko kyseisiin laitteisiin murtauduttu luvattomalla käytöllä vai ei. Tietotekniset tutkijat työskentelevät tiiminä tutkiakseen tapauksen ja suorittaakseen rikosteknisen analyysin käyttämällä erilaisia menetelmiä (esim. staattisia ja dynaamisia) ja työkaluja (esim. ProDiscover tai Encase) varmistaakseen, että tietokoneverkkojärjestelmä on turvallinen organisaatiossa. Menestyvän tietokonerikostutkijan on tunnettava oman maansa tietokonerikoksiin liittyvät lait ja asetukset (esim. Computer Misuse Act 1990, Iso-Britannia) sekä erilaiset tietokoneen käyttöjärjestelmät (esim. Windows, Linux) ja verkon käyttöjärjestelmät (esim. Win NT). Nelson, B., et al., (2008) mukaan julkiset tutkimukset ja yksityiset tai yritystutkimukset ovat kaksi erillistä luokkaa, jotka kuuluvat Computer Forensics Investigations -tutkimuksiin. Julkisia tutkimuksia suorittavat valtion virastot, ja yksityisiä tutkimuksia suorittavat yksityiset tietokonerikostutkintaryhmät. Tässä raportissa keskitytään yksityisiin tutkimuksiin, koska tapaus sattui Lutonissa sijaitsevassa uudessa pk-yrityksessä.
Tämä raportti sisältää myös tietokonetutkintamallin, tiedonkeruut ja niiden tyypit, todisteiden hankinnan, rikostekniset työkalut, haittatutkimuksen, tietokoneteknisen rikostekniikan oikeudelliset näkökohdat, ja lopuksi tämä raportti sisältää myös tarvittavat suositukset, vastatoimet ja toimintatavat, joilla varmistetaan, että tämä pk-yritys sijoitetaan turvalliseen verkkoympäristöön.
Tapaustutkimus
Lutonissa sijaitseva uusi aloittava pk-yritys (small-medium enterprise), jolla on sähköisen hallinnon malli, on hiljattain alkanut havaita poikkeamia kirjanpidossaan ja tuotetiedoissaan. Se on tarkistanut alustavasti järjestelmälokitiedostot, ja niissä on useita epäilyttäviä merkintöjä ja IP-osoitteita, joissa on suuri määrä yrityksen palomuurin ulkopuolelle lähetettyjä tietoja. Yritys on myös hiljattain saanut useita asiakasvalituksia, joiden mukaan tilauksen käsittelyn aikana näytetään usein outo viesti ja heidät ohjataan usein maksusivulle, joka ei näytä lailliselta.
Yhtiö käyttää yleiskäyttöistä sähköistä liiketoimintapakettia (OSCommerce), ja sillä on pieni kuuden tietotekniikka-alan ammattilaisen tiimi, mutta se ei usko, että sillä on riittävästi asiantuntemusta täysimittaisen haittaohjelmia ja rikosteknisiä tietoja koskevan tutkimuksen suorittamiseen.
Koska kilpailu hi-tech-alalla on lisääntynyt, yritys haluaa varmistaa, ettei sen järjestelmiä vaaranneta, ja se on palkannut digitaalisen rikosteknisen tutkijan selvittämään, onko järjestelmissä tapahtunut haitallista toimintaa, ja varmistamaan, ettei järjestelmissä ole haittaohjelmia.
Tehtävänäsi on tutkia tiimin epäilyt ja ehdottaa tiimille, miten he voivat desinfioida kaikki koneet, joihin on kohdistunut haittaohjelmia, ja varmistaa, että muut koneet heidän tiloissaan tai verkossa eivät ole saaneet tartuntaa. Tiimi haluaa myös, että teet digitaalisen rikosteknisen tutkimuksen, jonka tarkoituksena on selvittää, pystytkö jäljittämään ongelmien syyn, ja tarvittaessa valmistella syyte tekijöitä vastaan.
Yhtiö käyttää palvelimissaan Windows Server NT:tä. Tietotekniikan tukitiimi tekee korjauksia kuukausittain, mutta tiimi on huomannut, että useita koneita ei ole ilmeisesti korjattu.
Tuotokset
Tuotoksesi tässä tehtävässä on 5 000 sanan raportti, jossa käsittelet, miten lähestyisit seuraavia asioita:
– Haittaohjelmien tutkinta
– Digitaalinen rikostekninen tutkinta
Käsittele yleisnäkemys käyttämästäsi metodologiasta ja esitä perusteltu väite siitä, miksi juuri valittu metodi on relevantti.
Sinun tulisi myös keskustella prosessista, jota käytät todisteiden keräämiseen, ja keskustella asiaankuuluvista ohjeista, joita on noudatettava digitaalisia todisteita kerättäessä.
Raporttiisi sisältyvänä keskusteluna sinun olisi myös esitettävä kriittinen arvio nykyisistä välineistä ja tekniikoista, joita käytetään digitaaliseen rikostutkintaan tai haittaohjelmatutkimuksiin, ja arvioitava niiden tehokkuutta, ja keskusteltava muun muassa omaksuttujen lähestymistapojen johdonmukaisuudesta, rikostutkijoilta vaadittavista taidoista ja nykyisiin metodologioihin liittyvistä ongelmista (erityisesti siitä, että tällaisten tutkimusten suorittamiseen ei ole olemassa yhtä yhteistä maailmanlaajuista lähestymistapaa, ja ongelmista, joita voi aiheutua, kun on tarpeen suorittaa kansainväliset rajat ylittävä tutkimus).
Association of Chief Police Officers (ACPO)
Tämä rikostekninen tutkinta suoritetaan Association of Chief Police Officers (ACPO) -järjestön ohjeiden ja sen neljän periaatteen mukaisesti. Tietokonepohjaiseen sähköiseen todistusaineistoon liittyy neljä ACPO:n periaatetta. Näitä periaatteita on noudatettava, kun henkilö suorittaa tietokoneen rikosteknistä tutkimusta. Yhteenveto näistä periaatteista on seuraava (ACPO, 2013);
PERIAATE 1: Tietokoneeseen tai tallennusvälineeseen tallennettuja tietoja ei saa muuttaa tai muuttaa, koska nämä tiedot voidaan myöhemmin esittää tuomioistuimessa.
PERIAATE 2: Henkilön on oltava riittävän pätevä käsittelemään tietokoneeseen tai tallennusvälineeseen tallennettuja alkuperäisiä tietoja, jos se on tarpeen, ja hänen on myös pystyttävä antamaan todistusaineisto, jossa hän selittää toimiensa tarkoituksenmukaisuuden ja kulun.
PERIAATE 3: Kaikista tietokonepohjaiseen sähköiseen todistusaineistoon sovellettavista prosesseista on luotava ja säilytettävä jäljitysketju tai muut asiakirjat. Riippumattoman kolmannen osapuolen olisi voitava tutkia nämä prosessit ja päästä samaan tulokseen.
PERIAATE 4: Tutkinnasta vastaavalla henkilöllä on oltava kokonaisvastuu kirjanpidosta siitä, että lakia ja ACPO:n periaatteita noudatetaan.
Tietokonetunnisteiden tutkintamalli
Kruse II, W.G., mukaan, ja Heiser, J.G. (2010) mukaan tietokonetutkinta on todisteiden tunnistamista, näiden todisteiden säilyttämistä, niiden poimimista, jokaisen prosessin dokumentointia ja todisteiden validointia sekä niiden analysointia perimmäisen syyn löytämiseksi ja sen avulla suositusten tai ratkaisujen antamiseksi.
”Tietokonetutkinta on uusi ala, ja sen standardisointi ja johdonmukaisuus on vähäisempää eri oikeusasteissa ja teollisuudenaloilla” (US-CERT, 2012). Kukin tietokonerikostekninen malli keskittyy tiettyyn alaan, kuten lainvalvontaan tai sähköisten todisteiden löytämiseen. Ei ole olemassa yhtä ainoaa digitaalista rikosteknistä tutkimusmallia, joka olisi yleisesti hyväksytty. Yleisesti on kuitenkin hyväksytty, että digitaalisen rikosteknisen mallin kehyksen on oltava joustava, jotta se voi tukea kaikentyyppisiä vaaratilanteita ja uusia teknologioita (Adam, R., 2012).
Kent, K., et.al, (2006) kehitti digitaalisen rikosteknisen tutkinnan perusmallin nimeltä Four Step Forensics Process (FSFP) Venterin (2006) ajatuksella, jonka mukaan digitaalista rikosteknistä tutkintaa voivat suorittaa myös ei-tekniset henkilöt. Tämä malli antaa enemmän joustavuutta kuin mikään muu malli, joten organisaatio voi ottaa käyttöön sopivimman mallin esiintyneiden tilanteiden perusteella. Näistä syistä valitsimme tämän mallin tähän tutkimukseen. FSFP sisältää seuraavat neljä perusprosessia, jotka on esitetty kuvassa:
Kuva 1: FSFP Forensic Investigation Model
Lähde: Kent, K., et.al, (2006)
Nuolimerkki ”Säilytä ja dokumentoi todisteet” viittaa siihen, että kaikki todisteet on säilytettävä ja dokumentoitava tutkinnan aikana, koska ne voidaan joissakin tapauksissa esittää tuomioistuimelle todisteina. Keskustelemme FSFP-tutkintamallin jokaisesta prosessista tai vaiheesta seuraavissa osioissa.
Tutkinnan laajuus
Tutkinnan laajuus tässä tapauksessa on seuraava:
- Tunnistetaan ilkivaltainen toiminta 5W:n (Miksi, Milloin, Missä, Mitä, Kuka) osalta.
- Tunnistaa verkon tietoturva-aukko.
- Tunnistaa vaikutukset, jos verkkojärjestelmä on vaarantunut.
- Tunnistaa tarvittaessa oikeudelliset menettelyt.
- Tarjota korjaavat toimet järjestelmän koventamiseksi.
Tutkinnan oikeudelliset haasteet
Nelsonin, B., et al., (2008) mukaan oikeudelliset haasteet ennen rikosteknisen tutkimuksen aloittamista ovat seuraavat:
-
Määritellään, tarvitaanko lainvalvontaviranomaisten apua, ja jos tarvitaan, he voivat olla käytettävissä tutkinnan aikana, tai sitten tutkintaraportti on toimitettava heille tutkinnan päätyttyä.
-
Kirjallisen luvan hankkiminen rikosteknisen tutkinnan suorittamiseen, jollei kyseessä ole jokin muu vaaratilannevastauksen lupamenettely.
-
Keskusteleminen oikeudellisten neuvonantajien kanssa mahdollisten ongelmien tunnistamiseksi, jotka voivat nousta esiin tutkimusten epäasianmukaisen käsittelyn yhteydessä.
-
Varmuus siitä, että asiakkaiden luottamuksellisuuteen ja yksityisyyteen liittyvät kysymykset on otettu huomioon.
Alustava valmistautuminen
On ilmeistä, että ennen tutkinnan aloittamista tarvitaan valmistautumista, jotta tutkinta voidaan suorittaa tehokkaasti. Tätä pidetään ennakoivana tutkintatoimenpiteenä (Murray, 2012). Valmisteluvaiheessa on toteutettava seuraavat vaiheet:
-
Kerätään kaikki saatavilla olevat tiedot tapauksen arvioinnista, kuten tapauksen vakavuus.
-
Tutkinnan vaikutusten selvittäminen pk-yrityksen liiketoimintaan, kuten verkon seisokkiaika, häiriöstä toipumisen kesto, tulojen menetys ja luottamuksellisten tietojen menetys.
-
Tietojen hankkiminen verkoista, verkkolaitteista, kuten reitittimestä, kytkimistä, keskittimestä jne, verkkotopologian dokumentointi, tietokoneet, palvelimet, palomuuri ja verkkokaavio.
-
Tunnistetaan ulkoiset tallennuslaitteet, kuten kynäasema, muistitikku, ulkoinen kiintolevy, CD- ja DVD-levy, muistikortit ja etätietokone.
-
Tunnistetaan rikostekniset työkalut, joita voidaan käyttää tässä tutkimuksessa.
-
Verkon elävän verkkoliikenteen sieppaaminen siltä varalta, että epäilyttävät toiminnot jatkuvat edelleen netmon-työkaluilla.
-
Kirjanpito kaikista tutkinnan aikana tehdyistä toimista, joita voidaan käyttää oikeudessa todentamaan tutkinnassa noudatettu toimintatapa.
-
Kohteena olevien laitteiden kiintolevyjen kuvantaminen ja tietojen eheyden varmistaminen MD5:llä.
Keräys
”Keräysvaiheessa tunnistetaan, merkitään, tallennetaan ja hankitaan tietoja mahdollisista merkityksellisistä tietolähteistä noudattaen samalla ohjeita ja menettelyjä, joilla säilytetään tietojen eheys” (CJCSM 6510.01B, 2012). Tietoteknisessä tutkimuksessa voidaan kerätä kahdenlaisia tietoja. Ne ovat haihtuvat tiedot ja ei-haihtuvat tiedot (pysyvät tiedot). Haihtuvat tiedot ovat tietoja, jotka ovat olemassa, kun järjestelmä on päällä, ja jotka poistetaan, kun virta katkaistaan, esimerkiksi RAM-muisti (Random Access Memory), rekisteri ja välimuistit. Ei-haihtuvat tiedot ovat tietoja, jotka ovat olemassa järjestelmässä virran ollessa kytkettynä tai katkaistuna, esim. kiintolevyllä olevat asiakirjat. Koska haihtuvat tiedot ovat lyhytaikaisia, rikosteknisen tutkijan on tiedettävä, mikä on paras tapa tallentaa ne. Todisteet voidaan kerätä paikallisesti tai etänä.
Haihtuvat tiedot
Seuraavassa kuvassa esitetään, miten haihtuvat tiedot kaapataan. Rikosteknisen työaseman on sijaittava samassa lähiverkossa, jossa kohdekone, tässä tapauksessa Windows NT Server, sijaitsee. Rikosteknisessä työasemassa voidaan käyttää Cryptcat-työkaluja Windows NT -palvelimen portin kuuntelemiseen. Luo Windows NT -palvelimeen luotettu optinen asema ja avaa luotettu konsoli cmd.exe ja käytä seuraavaa komentoa:
cryptcat <ip-osoite> 6543 -k key
Tietojen kaappaamiseksi rikosteknisellä työasemalla käytetään seuraavaa komentoa:
cryptcat -l -p 6543 -k key >> <tiedoston nimi>
Kuva 2: Haihtuvien tietojen keräämisen asetukset
Lähde:
Taulukko 1: Volatile Data Forensic Tools and their usage and outcome
Source: Reino, A, (2012)
Käytämme myös erilaisia Windows-pohjaisia työkaluja haihtuvien tietojen keräämiseen seuraavasti:
HBGray’s FastDump – Paikallinen fyysisen muistin kerääminen.
HBGray’s F-Response – Fyysisen muistin kerääminen etänä
ipconfig – Kohdejärjestelmän yksityiskohtien kerääminen.
netusers ja qusers – Kirjautuneiden käyttäjien tunnistaminen
doskey/history – Komentohistorian kerääminen
netfile – Palveluiden ja ajureiden tunnistaminen
Loppujen lopuksi leikepöydän sisällön kerääminen on myös erittäin tärkeää tietokoneen rikosteknisessä tutkimuksessa. Koneesta, joka on edelleen käynnissä, voidaan löytää enemmän todisteita, joten jos poikkeavuuksia on edelleen pkyrityksessä, voimme hakea paljon tärkeitä todisteita käynnissä olevista prosesseista, verkkoyhteydestä ja muistiin tallennetuista tiedoista. Todisteita on paljon, kun kone on haihtuvassa tilassa, joten on varmistettava, että kyseisiä tietokoneita ei sammuteta tällaisten todisteiden keräämiseksi.
Non-Volatile Data
Kun haihtuvat tiedot on kerätty, tarkastelemme haihtumattomia tietoja. Ensimmäinen vaihe ei-haihtuvien tietojen keräämisessä on kopioida koko kohdejärjestelmän sisältö. Tätä kutsutaan myös ”rikostekniseksi kuvantamiseksi”. Kuvantaminen auttaa säilyttämään alkuperäiset tiedot todistusaineistona ilman toimintahäiriöitä tai muutoksia tiedoissa, jotka tapahtuvat rikosteknisen tutkimuksen aikana. Rikostekninen kuvantaminen luodaan rikosteknisillä työkaluilla, kuten EnCase, ProDiscover ja FTK. Rikostekninen tutkija käyttää kirjoituksen estoa muodostaakseen yhteyden kohdejärjestelmään ja kopioidakseen kohdeaseman koko sisällön toiselle tallennuslaitteelle käyttäen mitä tahansa näistä rikosteknisistä työkaluista. Kiintolevyn kloonaus ei ole muuta kuin koko järjestelmän kopioiminen. Ero rikosteknisen kuvantamisen ja kiintolevyn kloonauksen välillä on se, että rikostekniseen kuvantamiseen ei pääse käsiksi ilman rikosteknisiä työkaluja, mutta kiintolevyn kloonaukseen pääsee helposti käsiksi mount-aseman avulla. Kiintolevyn kloonaus sisältää vain raakakuvan, ja jokainen bitti kopioidaan, eikä siihen lisätä mitään muuta ylimääräistä sisältöä. Rikostekninen kuvantaminen sisältää metatietoja eli hasheja ja aikaleimoja, ja se pakkaa kaikki tyhjät lohkot. Rikostekninen kuvantaminen hashaa MD5:llä tai SHA-2:lla digitaalisten todisteiden eheyden varmistamiseksi (Nelson, B., et al., 2008).
Tiedonkeruu voidaan tehdä offline-tutkinnassa ja online-tutkinnassa. Oikeuslääketieteellinen kuvantaminen voidaan tehdä offline-tutkinnassa. Live-verkkoliikennettä voidaan tehdä online-tutkinnassa käyttämällä ethereal- tai Wireshark-työkaluja. Palomuurilokit, virustorjuntalokit ja toimialueohjaimen lokit kerätään tutkimusta varten haihtumattomien tietojen keruun yhteydessä. Keräämme myös verkkopalvelinlokit, Windowsin tapahtumalokit, tietokantalokit, IDS-lokit ja sovelluslokit. Kun olemme keränneet kaikki digitaaliset todisteet, ne on dokumentoitava säilytysketjun lokidokumentaatioon. Säilytyslokin ketjun dokumentoinnin tehtävänä on säilyttää todisteiden eheys tutkinnan alusta loppuun, kunnes tämä tutkintaraportti esitetään (Nelson, B., et al., 2008).
Voittaessamme suorittaa muita prosesseja, meidän täytyy kuvata levy bitti kerrallaan, jolloin pääsemme käsiksi koko tietovälineeseen ja kopioimme alkuperäisen tietovälineen, mukaan lukien poistetut tiedostot. Kun levy on kuvattu, meidän pitäisi hashata kaikki, mikä varmistaa, että tiedot ovat aitoja ja että tietojen eheys säilyy koko tutkimuksen ajan. Hash-arvot on tallennettava useisiin eri paikkoihin, ja meidän on varmistettava, ettemme tee mitään muutoksia tietoihin tietojen keräämisen ja tutkimuksen päättymisen välisenä aikana. Useimmat työkalut auttavat tämän saavuttamisessa käyttämällä tietovälineitä vain lukutilassa (SANS, 2010). Kohdejärjestelmän kiintolevyt, ulkoiset tallennuslaitteet ja Windows NT Serverin kiintolevy on hankittava digitaalista rikosteknistä tutkimusta varten tässä tapauksessa.
Tutkimus
Kun olemme keränneet kaikki saatavilla olevat todisteet, meidän on suoritettava tutkimus erilaisten tietokoneen rikosteknisen tutkimuksen työkalujen avulla. Tutkimme myös tiedostojärjestelmän, Windowsin rekisterin, verkon ja tietokannan rikosteknisen tutkimuksen seuraavasti:
Tiedostojärjestelmän tutkimus
NTFS on New Technology File System ja NTFS Disk on tiedosto. MFT on Master File Table, joka sisältää tietoa kaikista tiedostoista ja levyistä, ja se on myös NTFS:n ensimmäinen tiedosto. MFT:n tietueita kutsutaan myös metatiedoiksi. Metatieto on tietoa tiedosta (Nelson, B., et. al., 2008). Tiedostoja voidaan tallentaa MFT:hen kahdella tavalla: residentti- ja ei-residenssitiedostot. Tiedosto, jonka koko on alle 512 tavua, voidaan tallentaa MFT:hen residenttitiedostoina, ja tiedosto, jonka koko on yli 512 tavua, voidaan tallentaa MFT:n ulkopuolelle ei-residenttitiedostoina. Kun tiedosto poistetaan Windows NT:ssä, käyttöjärjestelmä nimeää tiedoston uudelleen ja siirtää sen roskakoriin yksilöllisellä tunnisteella. Käyttöjärjestelmä tallentaa tiedot alkuperäisestä polusta ja alkuperäisestä tiedostonimestä info2-tiedostoon. Jos tiedosto kuitenkin poistetaan roskakorista, siihen liittyvät klusterit merkitään käytettävissä oleviksi uusia tietoja varten. NTFS on tehokkaampi kuin FAT, koska se ottaa poistetun tilan nopeammin takaisin. NTFS-levyt ovat tietovirtoja, mikä tarkoittaa, että ne voidaan liittää toiseen olemassa olevaan tiedostoon. Tietovirtatiedosto voidaan tallentaa seuraavasti:
C:echo text_mess > tiedosto1.txt:tiedosto2.txt
Tämä tiedosto voidaan hakea seuraavalla komennolla:
C:more < tiedosto1.txt:file2.txt
W2K.Stream ja Win2K.Team ovat viruksia, jotka on kehitetty käyttämällä tietovirtaa, ja ne on kehitetty tarkoituksena muuttaa alkuperäistä tietovirtaa. Tutkijana meidän on tunnettava Windowsin tiedostojärjestelmät FAT ja NTFS perusteellisesti (Nelson, B., et. al., 2008).
Windowsin rekisterin tutkiminen
Kirjan mukaan (Carvey, H., 2005) rekisteriä voidaan käsitellä lokitiedostona, koska se sisältää tietoja, jotka rikostekninen tutkija voi hakea assosioidut avainarvot ovat nimeltään ”Lastwrite”-aika, joka tallennetaan FILETIME:nä ja jota pidetään tiedoston viimeisenä muutosajankohtana. Tiedostojen kohdalla on usein vaikea saada tarkkaa päivämäärää ja kellonaikaa tiedoston muuttamiselle, mutta Lastwrite kertoo, milloin rekisteriä on viimeksi muutettu. Fantastinen tarkastelee joitakin tiettyjä vaiheita (Carvey, H., 2005), jotka on lueteltu alla organisaation Windows-rekisterin analysoimiseksi, jotta voidaan varmistaa, että organisaation sisäiset ja ulkopuoliset ongelmat ovat tiedossa ja ne ratkaistaan yrityksen maineen suojelemiseksi ja ylläpitämiseksi.
Windowsin rekisteri on Microsoftin Windows 98:ssa, Windows CE:ssä, Windows NT:ssä ja Windows 2000:ssä käyttämä tietokantojen järjestys, johon tallennetaan käyttäjä- tai käyttäjäsovelluksen ja laitteistolaitteiden konfiguraatioita ja jota käytetään vertailupisteenä ohjelmaa tai prosesseja suorittaessa (Windows, 2013). Windowsin rekisterin yleinen rakenne on jaettu ”pesiin”, jotka ovat:
-
HKEY_CLASSES_ROOT: varmistaa, että tarvittavat ohjelmat suoritetaan.
-
HKEY_CURRENT_USER: sisältää yleisiä tietoja järjestelmään tällä hetkellä kirjautuneesta käyttäjästä.
-
HKEY_LOCAL_MACHINE: sisältää tietoja laitteistosta, asemista jne. järjestelmän laitteista.
-
HKEY_USERS: sisältää kaikki tiedot tietyn järjestelmän käyttäjistä.
-
HKEY_CURRENT_CONFIG: tallentaa tiedot järjestelmän nykyisestä kokoonpanosta.
Windowsin rekisteri koostuu haihtuvista ja ei-haihtuvista tiedoista. Tämä tarkoittaa, että tutkijan on vähintäänkin tunnettava Window-rekisterin pesien, avainten, tietojen ja arvojen jokainen merkitys ja toiminnallisuus ennen tietokoneen rikosteknistä tutkimusta saadakseen onnistuneen rikosteknisen tutkintaraportin.
Autostarttipaikka: on rekisterissä oleva paikka, jossa sovellukset on asetettu käynnistymään ilman käyttäjän aloitusta. Tämän toiminnallisuuden avulla haittaohjelma, joka vaikuttaa Luton SME:hen, voi jatkuvasti käynnistyä, kun kone kytketään päälle ilman käyttäjän suoraa vuorovaikutusta, koska se on jo ohjelmoitu käynnistymään automaattisesti itsestään tai kun käyttäjä suorittaa tiettyjä komentoja tai prosesseja.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option on Windows-rekisterin avain, jossa hyökkääjä voi käyttää avainta, jonka avulla se voi ohjata sovelluksen alkuperäisen kopionsa uudelleen troijalaiselle kopiolleen.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTC CurrentVersionImage File Execution Option on Windowsin rekisterin avaimella, jolla voidaan uudelleenohjata sovelluksen alkuperäisen kopion troijalaiselle kopiolleen.
Tekninen tutkija voi tutkia automaattisen käynnistyksen sijaintia selvittääkseen, johtuuko Luton SME -ongelma käyttäjän, haittaohjelman tai organisaatioon kohdistuneen hyökkääjän suorittamasta toimenpiteestä. (Carvey, H., 2005) mukaan (Carvey, H., 2005) luotettava tapa päästä käsiksi autostart-sijaintiin on käyttää SysInternals.comin AutoRuns-työkaluja, jotka voivat antaa listauksen autostart-sijainneista.
Käyttäjän toiminta: Käyttäjän toimintaa ja aktiviteetteja voidaan tutkia HKEY_CUREENT_USER-pesäkkeestä, joka on luotu HKEY_USERSID-pesäkkeestä. Käyttäjätiedot kartoitetaan HKEY_CURRENT_USERiin. NTUSER.DAT sisältää tietoja käyttäjän rekisterin määrittelyasetuksista. Tämän pesän tutkiminen antaa rikostutkijalle hyvän vihjeen käyttäjän tekemistä toimista ja toimenpiteistä.
Most Recent Used (MRU) List: MRU-luettelo sisältää käyttäjän viimeisimmät erityiset toimet ja pitää kirjaa toiminnoista tulevaa käyttöä varten. Esimerkiksi HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU ylläpitää luetteloa käyttäjän suorittamista komennoista. Jokainen suoritettu komento suoritusluettelossa lisää pesään avainarvomerkinnän, kuten alla näkyy:
Kuva3: ExplorerRunMRU-avaimen sisältö.
Lähde: Carvey, H., (2005)
Rikostutkija voi tutkia tätä pesää saadakseen MRU-luettelosta kunkin komennon viimeisimmän kirjoitusajankohdan, kuten edellä on esitetty. Tämän avulla SME Luton tutkija pystyy analysoimaan rekisteristä, oliko kyseessä käyttäjän toiminta, haittaohjelman toiminta vai hyökkäys, joka vaikuttaa organisaatioon.
UserAssist: mukaan (Carvey, H., 2005) UserAssist, joka löytyy hakemiston HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist alta, koostuu kahdesta avaimesta, jotka yleisesti näyttävät globaalisti yksilöiviltä tunnisteilta, jotka säilyttävät salattuja tietueita jokaisesta objektista, sovelluksesta jne. jota käyttäjä on käyttänyt järjestelmässä. Jos tutkija on päässyt käsiksi salattuun tietueeseen, joka ei ole enää lopullinen, se saattaa viitata johonkin toimenpiteeseen, jonka käyttäjä on tehnyt laukaistakseen haittaohjelman jonkin sovelluksen tai minkä tahansa toimintansa kautta.
USB:n irrotettava tallennuslaite: Farmerin, Collegen ja Vermontin (2008) mukaan kaikkia järjestelmään kytkettyjä laitteita ylläpidetään tietokoneen rekisterissä seuraavassa avaimessa HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Alla olevassa kuvassa on esimerkki USB-muistitikun asematunnuksista:
Kuva4: Esimerkki USBSTOR-avaimen sisällöstä, josta näkyvät laiteinstanssin ID:t.
Lähde: Carvey, H., (2005)
Asennetun aseman pesien avulla tutkija saa vihjeen, kun hän analysoi rekisterissä ylläpidettävän laitetunnuksen sisällön ja saa näin selville, mikä laite oli asennettu Luton SME -organisaatioon. Kunkin arvoavaimen pysyvän tarkastelun avulla tutkija voi tunnistaa irrotettavat USB-muistilaitteet ja liittää ne parentidprefixiin.
Langattomat SSID-tunnukset: (Carvey, H., 2005) mukaan (Carvey, H., 2005) tietokoneessa käytettävien langattomien verkkojen SSID-tunnukset löytyvät kohdasta HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Kun navigoidaan avainarvoihin, ne sisältävät aliavaimia, jotka näyttävät globaalisti yksilöiviltä tunnisteilta, jotka avattaessa tutkija voi navigoida ActiveSettingsiin, joka paljastaa jokaisen langattoman SSID:n binääritietotyypin muodossa. Kun sitä napsautetaan hiiren oikealla painikkeella muokattavaksi, se paljastaa SSID-tunnukset tavallisessa kirjallisessa muodossa. Vaikka IP-osoite ja muut verkkotiedot löytyvät osoitteesta HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, tutkija voi käyttää näitä tietoja sitoakseen Luton SME -organisaation käyttäjän tiettyyn ajanjaksoon, jos henkilön IP-osoite näkyy löytyvän edellä mainitusta Window-rekisteristä.
Windows-rekisteri voi myös olla tärkeä todisteiden lähde rikosteknisessä tutkimuksessa, jos tutkija tietää, mistä saa saatavilla olevia tietoja, jotka voidaan hyvin esittää Luton SME -organisaatiolle. Fantastic on yrittänyt analysoida joitakin Windowsin perusrekisterin tietoja, jotka ovat saattaneet aiheuttaa sen verkkosivun uudelleenohjauksen, seurata käyttäjän toimintaa ja kaikkia tarvittavia ohjelmia, joita käyttäjä oli suorittanut, palvelimella tai jollakin organisaation tietokoneella käytettyjä laitteita sekä paljastaa myös käyttäjien IP-osoitteet.
Verkkotekninen tutkimus
Verkossa tapahtuvien tapahtumien hankkimista, keräämistä ja analysointia kutsutaan verkkotekniseksi tutkimukseksi. Joskus se tunnetaan myös nimellä packet forensics tai packet mining. Verkkoteknisen rikostekniikan perustavoite on sama eli kerätä tietoa verkkoliikenteessä olevista paketeista, kuten sähköposteista, kyselyistä, verkkosisällön selaamisesta jne. ja säilyttää nämä tiedot yhdessä lähteessä ja suorittaa jatkotarkastuksia (WildPackets, 2010).
Verkkoteknistä rikostutkintaa voidaan soveltaa kahdella päätavoitteella. Ensimmäinen on turvallisuuteen liittyvä, jossa verkkoa tarkkaillaan epäilyttävän liikenteen ja kaikenlaisten tunkeutumisten varalta. Hyökkääjän on mahdollista poistaa kaikki lokitiedostot saastuneelta isäntäkoneelta, joten tässä tilanteessa verkkopohjainen todistusaineisto tulee mukaan rikostekniseen analyysiin. Toinen verkkoteknisen rikostekniikan sovellus liittyy lainvalvontaan, jossa kaapattua verkkoliikennettä voidaan käyttää verkon kautta siirrettyjen tiedostojen keräämiseen, avainsanahakuun ja sähköpostien tai muiden vastaavien istuntojen kautta tapahtuneen ihmisten välisen viestinnän analysointiin. (Hunt, 2012)
Tools and Techniques of Network Forensics
Voidaan suorittaa mikä tahansa operaatio rikosteknisesti luotettavalla käynnistettävällä DVD/CD-ROM-levyllä, USB-muistitikulla tai jopa levykkeellä. Ensin meidän on tyhjennettävä muisti, ja tämä tehdään mieluiten riittävän kokoisella USB-muistitikulla. Meidän on myös tehtävä riskinarviointi, kun aiomme kerätä haihtuvia tietoja, jotta voimme arvioida, onko turvallista ja tarkoituksenmukaista kerätä tällaisia reaaliaikaisia tietoja, joista voi olla paljon hyötyä tutkinnassa. Meidän pitäisi käyttää rikosteknisiä työkalupakkeja koko prosessin ajan, koska se auttaa täyttämään rikosteknisen tutkimuksen vaatimukset. Näihin työkaluihin olisi luotettava, ja niitä voi hankkia vapaasti jaettavista kaupallisiin. (7safe, 2013)
Joitakin erittäin tärkeitä ja huomaamattomia tietoja tulisi kerätä käynnissä olevasta koneesta luotettavien työkalujen avulla, kuten:
-
Prosessiluettelot.
-
Palveluluettelot.
-
Systeemitiedot.
-
Kirjautuneet ja rekisteröidyt käyttäjät.
-
Verkkoyhteydet.
-
Rekisteritiedot.
-
Muistin binääridumppi.
Verkko- ja verkostoteknisiä rikosteknisiä työvälineitä on monenlaisia ja niillä on kaikilla erilaiset tehtävät. Jotkut ovat pelkkiä pakettien nuuskimisohjelmia ja toiset käsittelevät tunnistamista, sormenjälkien ottamista, paikannusta, kartoitusta, sähköpostiviestintää, verkkopalveluja jne. Alla olevassa taulukossa luetellaan joitakin avoimen lähdekoodin työkaluja, joita voidaan käyttää verkkoteknisessä tutkimuksessa, ja niiden toiminnot. (Hunt, 2012)
Tool | Platform | Web Site | Attributes |
TCPDumpWindump | Unix &Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: Suodatin & kerää; L: Lokianalyysi; R: Tietovirran uudelleenkokoaminen; C: Tietojen korrelaatio; A: Sovelluskerroksen näkymä
Taulukko 2: Verkkotekniset työkalut
Lähde: (Hunt, 2012)
Tietokannan rikostekninen tutkimus
Tietokanta on kokoelma tietoja tai informaatiota, joka esitetään tiedostojen tai tiedostokokoelman muodossa. Tietojen hakeminen tietokannasta voidaan tehdä joukolla kyselyjä. Tietokantatekninen rikostutkinta voidaan määritellä tietokonetutkimuksen ja analyysitekniikoiden soveltamiseksi todisteiden keräämiseen tietokannasta niiden esittämiseksi tuomioistuimessa. Tietokannoista on tehtävä rikostekninen tutkimus, koska tietokannassa on arkaluonteisia tietoja, joiden osalta on suuri mahdollisuus, että tunkeutujat tekevät tietoturvaloukkauksen saadakseen nämä henkilökohtaiset tiedot.
Tapaustutkimuksessa mainitaan, että tietokannasta lähetetään suuri määrä tietoja, joten Fantastic-tiimin tehtävänä on nyt suorittaa rikostekninen tutkimus tietokannassa rikosteknisten työkalujen avulla. Tietokantojen rikostutkinta keskittyy tietojen tunnistamiseen, säilyttämiseen ja analysointiin. Khanuja, H.K. ja Adane, D.S., (2011) mukaan tietokantaan pääsemiseksi käyttäjien on saatava tietokantapalvelimilta käyttöoikeudet, kuten valtuutus ja todennus. Kun valtuutus on tehty, vain käyttäjä pääsee käsiksi tietoihin ja voi halutessaan muuttaa tietoja. Jos tarkistamme tietokannan tarkastuslokit, saamme luettelon käyttäjistä, jotka ovat saaneet oikeudet käyttää tietoja. Ryhmän on etsittävä tietokannasta IP-osoitteet, joihin on etäyhteys, koska on mahdollista, että valtuutettu käyttäjä tai luvaton käyttäjä muuttaa tietoja.
Dave, P., (2013) mukaan tutkimuksen avulla voimme jäljittää DDL:n (Data Definition Language), jota käytetään tietokannan rakenteen määrittelyyn, ja DML:n (Data Manipulation Language) toiminnot, joita käytetään tietojen hallintaan tietokannassa, ja voimme tunnistaa, tapahtuuko tietokannassa ennakko- ja jälkitapahtumia. Tämä tutkimus voi myös auttaa meitä tietämään, onko olemassa tietorivejä, jotka käyttäjä on poistanut tahallaan, ja pystyy palauttamaan ne, ja se auttaa meitä myös todistamaan tai kumoamaan, että tietokannassa on tapahtunut tietoturvaloukkaus, ja se auttaa meitä määrittämään tietokantaan tunkeutumisen laajuuden. Windows forensic -työkalua v1.0.03 käytetään räätälöidyn konfigurointitiedoston kanssa, joka suorittaa DMV- (Distributed Management Views) ja DBCC- (Database Consistency Checker) -komennot kerätäkseen tietoja, jotka riittävät todistamaan tai hylkäämään tunkeutumisen, kuten aiemmin todettiin (Fowler, K., 2007).
Analyysi
Aluksi meidän on analysoitava keräämämme ja tarkastelemamme todisteet. Tarkastelemme tietoja nähdaksemme, onko niissä esitetty piilotettuja tiedostoja tai epätavallisia tiedostoja vai ei. Sitten onko jokin epätavallinen prosessi käynnissä ja onko jokin socket avattu epätavallisesti. Katsomme myös, onko sovelluspyyntöjä esiintynyt epätavallisesti. Sitten tarkistamme, onko tilillä jokin epätavallinen tili vai ei. Etsimme myös korjaustason järjestelmän, onko se päivitetty vai ei. Näiden analyysien tulosten perusteella saamme tietää, onko haitallista toimintaa esitetty vai ei. Tämän jälkeen kehitämme rikosteknisen tutkimuksen jatkostrategian, kuten muistin täydellisen analyysin, tiedostojärjestelmien täydellisen analyysin, tapahtumien korrelaation ja aikajanan analyysin (Nelson, B., et. al., 2008). Tämän tapaustutkimuksen mukaan heidän verkkojärjestelmässään on haitallista toimintaa, ja alustava analyysimme on myös vahvistanut sen. Haitallisen koodin ominaisuuksien ja sen tavoitteen selvittämiseksi meidän on analysoitava haittaohjelman suoritettava tiedosto. Haittaohjelman suoritettavan koodin analyysi voidaan jakaa staattiseen analyysiin ja käyttäytymisanalyysiin.
Haittaohjelman analyysi
Verizonin ”2012 Data Breach Investigations Report” -raportin mukaan 99 prosenttia haavoittuvuuksista on johtanut siihen, että tiedot ovat vaarantuneet muutamassa päivässä tai lyhyemmässä ajassa. 85 prosentissa haavoittuvuuksien tutkinta kesti useita viikkoja. Tämä on vakava haaste tietoturvaosastoille, sillä hyökkääjät saavat paljon aikaa työskennellä vaarantuneessa ympäristössä. Enemmän ”vapaa-aikaa” johtaa useampiin varastettuihin tietoihin ja vakavampiin vahinkoihin. Tämä johtuu pääasiassa siitä, että nykyisiä turvatoimia ei ole tarkoitettu käsittelemään monimutkaisempia uhkia (2012 Data Breach Investigations Report, Verizon, 2012).
Pisteenä haittaohjelman rikospaikkatutkinnan suorittamisessa: Tietyt Windows-tietokoneen osat ovat hyvällä tiellä pitämään hallussaan tietoja, jotka tunnistavat haittaohjelman asennuksen ja käytön. Vaihdettujen kehysten oikeudelliset tutkimukset sisälsivät tietueiden hash-arvojen, allekirjoitussekoitusten, pakattujen tiedostojen, törmäyslokien, järjestelmän palautuspisteiden ja sivutiedoston tarkastuksen. Tiedostojärjestelmien ja tapahtumalokien maailmanlaajuinen tutkimus voidaan suunnata erottamaan harjoituksia, jotka tapahtuivat silloin, kun haittaohjelma aktivoitiin järjestelmässä. Edistyneet asiantuntijat voivat lisäksi tarkastella rekisteriä epätavallisten merkintöjen, kuten Autostart-alueiden, ja mukautusten varalta haittaohjelman asennuksen aikoihin. Avainsanahaun avulla voidaan löytää viittauksia haittaohjelmiin ja yhteyksiä muihin kaupattuihin isäntiin. Normaalit hyökkäysvektorit tunnistetaan, mukaan lukien sähköpostin liitetiedostot, Web-selaushistoria ja luvattomat kirjautumiset.
Syngressin julkaisun ”Malware Forensics – Investigating and Analyzing Malicious Code, 2003” mukaan tutkinta tulisi tehdä seuraavien seikkojen perusteella:
-
Tunnettujen haittaohjelmien etsiminen
-
Asennettujen ohjelmien tarkastelu
-
Esihaun tarkastelu
-
Valmiustiedostojen tarkastelu
-
Automaattisten haittaohjelmien tarkasteluAutomaattisten haittaohjelmien tarkastelu.startKatsele ajastettuja töitäTarkastele lokitKatsele käyttäjätilitTarkastele tiedostojärjestelmäTutki rekisteriäPalauta pisteitäSanahaku
Ennen haittaohjelmien analysoinnin aloittamista, meidän on luotava haittaohjelmien analysointiympäristö, kuten VMware ja Norton Ghost. VMware on virtuaalipohjainen haittaohjelmien analyysiympäristö ja Norton Ghost on oma haittaohjelmien analyysiympäristö.
Stattinen analyysi
Stattinen analyysi on haittaohjelmien analyysityyppi, jota käytetään analyysin suorittamiseen ilman haittaohjelmien ohjelmoinnin suorittamista. Staattinen analyysi on parempi kuin dynaaminen analyysi turvallisen analyysin kannalta. Koska haittaohjelma ei ole käynnissä, ei ole pelkoa tiedostojen poistamisesta tai muuttamisesta. On aina parasta tehdä staattinen haittaohjelma-analyysi eri käyttöjärjestelmässä, jossa haittaohjelmaa ei ole suunniteltu ajettavaksi tai vaikuttamaan. Tutkija voi nimittäin vahingossa kaksoisnapsauttaa haittaohjelman suoritettavaksi, jolloin se vaikuttaa järjestelmään. On niin monia tapoja tehdä staattinen analyysi, kuten File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format ja Disassembly (Kendall, K., 2007).
Dynaaminen analyysi
Dynaaminen analyysi on haittaohjelman analyysityyppi, jossa haittaohjelmakoodia ajetaan ja sen käyttäytymistä tarkkaillaan. Sitä kutsutaan myös nimellä Behaviour Malware Analysis. Dynaaminen analyysi ei ole turvallista suorittaa, ellei olla valmiita uhraamaan haittaohjelmien analyysiympäristöä. Voimme analysoida haittaohjelman yksinkertaisesti tarkkailemalla haittaohjelman toimintojen käyttäytymistä. Dynaamisen haittaohjelma-analyysin suorittamiseen on monia työkaluja, mutta Process Monitor SysInternalsilta ja Wireshark ovat käytetyimpiä ja ilmaisia työkaluja (Kendall, K., 2007).
Kendallin mukaan Kendall, K., (2007) mukaan lähes kaikissa haittaohjelmatapauksissa yksinkertainen staattinen ja dynaaminen haittaohjelma-analyysi löytää kaikki vastaukset, joita haittaohjelmatutkijat tarvitsevat tietyn haittaohjelmakoodin osalta.
Löydökset
Tutkinnan jälkeen tiivistämme löydöksemme seuraavasti:
-
Tunnistimme hyökkääjän jatkuvan etäkäytön yrityksen tietokoneisiin.
-
Tekninen analyysi osoitti, että järjestelmät oli vaarannettu.
-
OS-korjausohjelmia ei ollut asennettu joissakin järjestelmissä.
-
Vaurioituneesta järjestelmästä löytyi epäilty haittaohjelma.
-
Tämän haittaohjelman tunnistaminen ja sen toiminnallisuus &haittaohjelman tavoite johti meidät siihen johtopäätökseen, että se on ”spämmaus”-haittaohjelma.
-
Havaittiin, että hyökkääjät pääsivät asiakkaan järjestelmiin haittaohjelman avulla toimittamalla asianmukaisen verkkosivun linkin maksuporttia varten.
Korjaustoimet
Harkittiin edellä yleisimpiä tapoja, joilla haittaohjelmat pääsevät verkkoon. Edellä esitetystä voidaan tehdä kaksi tärkeää johtopäätöstä:
-
Useimmat kuvatuista menetelmistä liittyvät jotenkin inhimilliseen tekijään, joten työntekijöiden kouluttaminen ja säännöllinen tietoturvakoulutus parantavat verkon tietoturvaa;
-
Legitiimien sivustojen hakkerointitapaukset johtavat siihen, että osaavakin käyttäjä voi tartuttaa tietokoneensa. Siksi esiin nousevat klassiset suojaustoimenpiteet: virustorjuntaohjelmistot, viimeisten päivitysten oikea-aikainen asentaminen ja Internet-liikenteen seuraaminen.
Shiner, D.L.D., and Cross, M, (2002) mukaan haittaohjelmilta suojautumiseen on olemassa merkittäviä vastatoimia:
-
Autentikointi ja salasanasuojaus
-
Virustorjuntaohjelmistot
-
Palomuurit (laitteisto tai
-
DMZ (demilitarisoitu vyöhyke)
-
IDS (tunkeutumisen havaitsemisjärjestelmä)
-
pakettisuodattimet
-
Reitittimet ja kytkimet
-
Proxy-palvelimet
-
VPN (Virtual Private Networks)
-
Loggaaminen ja… auditointi
-
Käytönvalvonta-aika
-
Omistusoikeudelliset ohjelmistot/laitteistot eivät ole julkisesti saatavilla
Meidän tapauksessamme, hyödyllisimpiä ovat seuraavat:
-
Firewall
-
Logging and Audit
Firewall tarkastaa kaikki käyttäjän tietokoneelle tulevat Web-sivut. Palomuuri sieppaa ja analysoi jokaisen Web-sivun haitallisen koodin varalta. Jos käyttäjän käyttämä verkkosivu sisältää haitallista koodia, pääsy sille estetään. Samalla se näyttää ilmoituksen siitä, että pyydetty sivu on saastunut. Jos Web-sivu ei sisällä haitallista koodia, se on välittömästi käyttäjän käytettävissä.
Loggauksella tarkoitetaan tietojen keräämistä ja tallentamista tietojärjestelmässä tapahtuvista tapahtumista. Esimerkiksi kuka ja milloin yritti kirjautua järjestelmään ja miten tämä yritys päättyi, kuka ja mitä tietoresursseja käytti, mitä ja kuka muokkasi tietoresursseja ja paljon muuta.
Auditointi on kertyneen tiedon analyysiä, joka suoritetaan nopeasti, lähes reaaliajassa (Shiner, D.L.D., ja Cross, M., 2002). Kirjaamisen ja auditoinnin toteuttamisella on seuraavat päätavoitteet:
-
Käyttäjien ja ylläpitäjien vastuuvelvollisuus;
-
Mahdollisuuksien tarjoaminen tapahtumien rekonstruoimiseksi;
-
tietoturvarikkomusten havaitsemisyritykset;
-
Tietojen tarjoaminen ongelmien tunnistamiseksi ja analysoimiseksi.
Turvapolitiikat
Täydellisimmät kriteerit organisaatiotason tietoturvamekanismien arviointiin on esitetty kansainvälisessä standardissa ISO 17799: Code of Practice for Information Security Management, joka hyväksyttiin vuonna 2000. ISO 17799 on kansainvälinen versio brittiläisestä standardista BS 7799. ISO 17799 sisältää tietoturvallisuuden hallintaa koskevat käytännön säännöt, ja sitä voidaan käyttää kriteereinä organisaatiotason turvamekanismien arvioinnissa, mukaan lukien hallinnolliset, menettelylliset ja fyysiset turvatoimet (ISO/IEC 17799:2005).
Käytännön säännöt on jaettu seuraaviin osiin:
-
Turvallisuuspolitiikka;
-
Tietoturvallisuuden organisointi;
-
Varallisuudenhallinta;
-
Henkilöstöresurssien tietoturva;
-
Fyysinen- ja ympäristöturva;
- Viestintä- ja toimintojen hallinta;
pääsynvalvonta;tietojärjestelmien hankinta, kehittäminen ja ylläpito;tietoturvatapahtumien hallinta;liiketoimintajatkuvuuden hallinta;vaatimustenmukaisuus.Nämä osiot kuvaavat organisaatiotason tietoturvamekanismeja, jotka on tällä hetkellä toteutettu valtiollisissa ja kaupallisissa organisaatioissa maailmanlaajuisesti (ISO1799, 2005).
Montaa kysymystä nousee esiin, kun tarkastellaan edellä mainittua tarvetta jonkinlaiseen yhdistelmään Internetin liiketoimintavaatimuksista. Mitä ohjelmistoja ja laitteistoja sekä organisatorisia toimenpiteitä on toteutettava organisaation tarpeiden täyttämiseksi? Mikä on riski? Millaisia eettisiä normeja organisaation tulisi noudattaa suorittaessaan tehtäviään Internetin avulla? Kenen pitäisi olla vastuussa tästä? Näihin kysymyksiin annettujen vastausten perusteella laaditaan organisaation käsitteellinen turvallisuuspolitiikka (Swanson, M., 2001).
Seuraavassa osiossa on katkelmia hypoteettisista turvallisen työskentelyn turvallisuuspolitiikoista Internetissä. Nämä fragmentit on suunniteltu tärkeimpien turvalaitetyyppien analyysin perusteella.
Turvapolitiikat voidaan jakaa kahteen luokkaan: tekniseen politiikkaan, joka toteutetaan laitteistojen ja ohjelmistojen avulla, ja hallinnolliseen politiikkaan, jonka toteuttavat järjestelmää käyttävät ja sitä ylläpitävät henkilöt (Swanson, M., 2001).
Organisaation yhteinen turvallisuuspolitiikka:
-
Jokaiseen tietojärjestelmään on laadittava tietoturvapolitiikka
-
Tietoturvapolitiikan on oltava organisaation johdon hyväksymä
-
Tietoturvapolitiikan on tavoitettava kaikki työntekijät yksinkertaisessa ja ymmärrettävässä muodossa
-
Tietoturvapolitiikan on sisällettävä:
-
tietoturvan määritelmä, sen päätavoitteet ja soveltamisala sekä sen merkitys mekanismina, jonka avulla tietoa voidaan käyttää kollektiivisesti
-
johdon kanta tietoturvan tarkoituksiin ja periaatteisiin
-
identifioidaan yleiset ja erityiset vastuut tietoturvan tarjoamisesta
-
linkkejä tietoturvapolitiikkaan liittyviin asiakirjoihin, kuten yksityiskohtaisiin turvallisuusohjeisiin tai käyttäjille tarkoitettuihin sääntöihin
- Turvapolitiikan tulee täyttää tietyt vaatimukset:
-
on oltava kansallisen ja kansainvälisen lainsäädännön mukainen
-
sisältää määräyksiä henkilökunnan kouluttamisesta turvallisuuskysymyksissä
-
sisältää ohjeita haittaohjelmien havaitsemisesta ja ehkäisemisestä
-
määritellä tietoturvarikkomusten seuraukset.
-
huomioon liiketoiminnan jatkuvuusvaatimukset
-
On määriteltävä henkilö, joka vastaa menettelystä, joka koskee tietoturvapolitiikan määräysten tarkistamista ja päivittämistä
-
Turvapolitiikan tarkistaminen on suoritettava seuraavissa tapauksissa:
-
organisaation organisatorisen infrastruktuurin muutokset
-
organisaation teknisen infrastruktuurin muutokset
-
Turvapolitiikan säännöllisen tarkistuksen kohteena ovat seuraavat ominaisuudet:
-
vastatoimenpiteiden kustannukset ja vaikutus organisaation suorituskykyyn(ISO/IEC 17799:2005)
Raportointi
Rikostekninen raportti tuo esiin todisteet oikeudessa ja se auttaa myös keräämään lisää todisteita ja sitä voidaan käyttää oikeudenkäynnissä. Raportin on sisällettävä tutkinnan laajuus. Tietoteknisen rikostutkijan on oltava tietoinen tietoteknisen rikosteknisen raportoinnin tyypeistä, kuten virallisesta raportista, kirjallisesta raportista, suullisesta raportista ja tutkimussuunnitelmasta. Virallinen raportti sisältää tutkintatuloksista ilmenevät tosiasiat. Kirjallinen raportti on kuin valaehtoinen ilmoitus tai valaehtoinen vakuutus, joka voidaan antaa valaehtoisesti, joten sen on oltava selkeä, tarkka ja yksityiskohtainen. Suullinen kertomus on vähemmän jäsennelty, ja se on alustava kertomus, jossa käsitellään vielä käsittelemättömiä tutkimusalueita. Tutkintasuunnitelma on jäsennelty asiakirja, joka auttaa tutkijaa ymmärtämään odotettavissa olevat kysymykset, kun hän perustelee todisteita. Tutkintasuunnitelma auttaa myös asianajajaa ymmärtämään tietokonerikostutkinnassa käytetyt termit ja toiminnot (Nelson, B., et al., 2008). Yleensä oikeuslääketieteellinen tietokoneraportti sisältää seuraavat toiminnot:
-
Raportin tarkoitus
-
Raportin tekijä
-
Tapahtuman yhteenveto
-
Todisteet
-
Analyysi
-
Johtopäätökset
-
Tukevat asiakirjat
Rikostutkintaraportin tuottamiseen on monia rikosteknisiä työkaluja, kuten ProDiscover, FTK ja EnCase (Nelson, B., et al., 2008).
Johtopäätökset
Tässä raportissa kerrotaan, miten tietokoneen rikostekninen tutkinta ja haittaohjelmatutkimus tehdään eri menetelmin ja eri työkaluja käyttäen. Tämä raportti sisältää myös ACPO:n neljä pääperiaatetta ja IS017799-tietoturvapolitiikan menettelyt, jotka on pantava täytäntöön jokaisessa organisaatiossa turvallisuusverkkoarkkitehtuurin parantamiseksi. Siinä analysoidaan myös First Four Step Forensic Investigation -mallia ja sitä, miksi valitsimme tämän mallin tämän tapauksen rikosteknisen tutkimuksen suorittamiseen. Siinä on myös tärkeitä valmisteluvaiheita ennen tutkinnan aloittamista. Tämän jälkeen tässä raportissa on analyysiosa, jossa analysoimme eri menetelmin keräämämme tiedot, joiden perusteella saimme tulokset. Tässä raportissa on myös suosituksia tietoturvaloukkausten välttämiseksi tulevaisuudessa.
Digitaalinen rikostekninen tutkinta on haastava prosessi, koska jokainen tapaus eroaa muista tapauksista. Tietoteknisen rikostutkijan on oltava riittävän pätevä teknisissä ja oikeudellisissa kysymyksissä voidakseen suorittaa tutkinnan. Koska tietokonerikostutkijan toimittamat todisteet voivat olla tärkeä osa tapausta, tutkintaraportin on oltava tarkka ja yksityiskohtainen.
-
7safe, (2013) ”Good Practice Guide for Computer-Based Electronic Evidence”, Saatavilla osoitteessa: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Saatavissa 12.1.2014.
-
ACPO (2013), ”Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), ”Evidence and Digital Forensics” (Todisteet ja digitaalinen rikostekninen tutkiminen), Australian Security Magazine, Saatavissa osoitteessa http://www.australiansecuritymagazine.com.au/, Saatavissa 31.12.2013.
-
Aquilina, M.J.,
-
Aquilina, M.J, (2003), ”Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), ”Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Tapaustutkimuksia, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, ”Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), ”SQL – Ura tietokantarikostutkinnassa!”, Saatavilla osoitteessa http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, viitattu 2.1.2014.
-
Fowler, K., (2007), ”SQL Server 2005 -tietokantapalvelimen rikostekninen analyysi”, Saatavilla osoitteessa https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, viitattu 2.1.2014.
-
Han, D.R., (2012), ”SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, saatavilla osoitteessa www.isaca.org/journal, viitattu 05.01.2014
-
Hunt, R., (2012), ”New Developments In Network Forensics – Tools and Techniques”, Uusi-Seelanti, IEEE, s. 377 – 381.
-
ISO/IEC 17799:2005, (2005), ”Tietotekniikka – Tietoturvatekniikat – Tietoturvallisuuden hallinnan käytännesäännöt”, Saatavissa osoitteessa http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Luettu 10.1.2014.
-
ISO1799, (2005), ”ISO 17799 Information and Resource Portal”, Saatavissa osoitteessa http://17799.denialinfo.com/ , Saatavissa 10.1.2014.
-
Kendall, K,(2007), ”Practical Malware Analysis”, Mandiant Intelligent Information Security, Saatavissa osoitteessa http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Saatavissa 10.1.2014.
-
Kent, K, and Grance, T., (2006), ”Guide to Integrating Forensic Techniques into Incident Response”, Saatavissa osoitteessa: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Viitattu 13. tammikuuta 2014.
-
Kent, K., et.al., (2006). ”Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (toim.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., ja Adane, D.S., (2011), ”Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., ja Heiser, J.G. (2010), ”Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
-
Microsoft, (2013), ”Windows Registry Information for Advanced Users” Saatavilla osoitteessa https://support.microsoft.com/kb/256986, Luettu 10.1.2014
-
Nelson, B., et. al., (2008), ”Guide to Computer Forensics and Investigations” (Tietotekniikan rikostutkintaopas ja tutkintatoimet), 3. uud. p. (3. painos), Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), ”Forensics of a Windows System”, Roche.
-
SANS, (2010), ”Integrating Forensic Investigation Methodology into eDiscovery”, Saatavilla osoitteessa: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Viitattu 13.1.2014.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), ”NIST Security Self-Assessment Guide for Information Technology Systems” Saatavilla osoitteessa http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Saatavilla 9.1.2014.
-
US-CERT, (2012), ”Computer Forensics”, Saatavilla osoitteessa http://www.us-cert.gov/reading-room/forensics.pdf, Saatavilla 30.12.2013.
-
Venter, J. P., (2006), ”Process Flows for Cyber Forensics Training and Operations”, Saatavilla osoitteessa http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, viitattu 30.12.2013.
-
Wong, L.W.,(2006) ”Forensic Analysis of the Windows Registry” Saatavilla osoitteessa http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf viitattu 10.1.2014