Kizáró nyilatkozat: Nem végeztünk élő nyomozást. Ez egy egyetemi feladatunk része volt, melyben a törvényszéki nyomozó szerepét vállaltuk, meghatározva az alkalmazható módszereket. Nyugodtan jöjjenek elő saját megállapításokkal, és oldják meg az ügyet. Megpróbáltuk követni a globális módszertant, illusztrálva, hogyan kell kinéznie egy alapvető törvényszéki vizsgálati jelentésnek.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar. [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Bevezetés
A számítástechnika a mindennapi emberi élet szerves részét képezi, és rohamosan növekszik, akárcsak a számítógépes bűncselekmények, például a pénzügyi csalás, a jogosulatlan behatolás, a személyazonosság-lopás és a szellemi lopás. Ezeknek a számítógépes bűncselekményeknek az ellensúlyozásában nagyon fontos szerepet játszik a számítógépes törvényszéki vizsgálat. “A számítógépes törvényszéki vizsgálat magában foglalja a digitális információk megszerzését és elemzését bizonyítékként való felhasználás céljából polgári, büntetőjogi vagy közigazgatási ügyekben (Nelson, B., et al, 2008).”
A számítógépes törvényszéki vizsgálat általában a számítógépes merevlemezekről vagy más tárolóeszközökről a szabványos irányelvek és eljárások betartásával levehető adatokat vizsgálja annak megállapítása érdekében, hogy ezek az eszközök illetéktelen hozzáférés révén veszélybe kerültek-e vagy sem. A számítógépes törvényszéki nyomozók csapatként dolgoznak az incidens kivizsgálásán és a törvényszéki elemzés elvégzésén különböző módszerek (pl. statikus és dinamikus) és eszközök (pl. ProDiscover vagy Encase) alkalmazásával, hogy biztosítsák a számítógépes hálózati rendszer biztonságát egy szervezetben. A sikeres számítógépes törvényszéki nyomozónak ismernie kell az országában a számítógépes bűncselekményekkel kapcsolatos különböző törvényeket és rendeleteket (pl. Computer Misuse Act 1990, Egyesült Királyság), valamint a különböző számítógépes operációs rendszereket (pl. Windows, Linux) és hálózati operációs rendszereket (pl. Win NT). Nelson, B., et al., (2008) szerint az állami nyomozások és a magán- vagy vállalati nyomozások a két megkülönböztetett kategória, amelyek a számítógépes törvényszéki nyomozás alá tartoznak. A nyilvános nyomozásokat a kormányzati szervek, a magánnyomozásokat pedig a magán számítógépes igazságügyi szakértői csoport végzi. Ez a jelentés a magánnyomozásra összpontosít, mivel egy újonnan induló, Lutonban található kkv-nál történt incidens.
Ez a jelentés tartalmaz egy számítógépes vizsgálati modellt, adatgyűjtéseket és azok típusait, bizonyítékbeszerzést, törvényszéki eszközöket, rosszindulatú nyomozást, a számítógépes törvényszéki nyomozás jogi vonatkozásait, és végül ez a jelentés a szükséges ajánlásokat, ellenintézkedéseket és irányelveket is biztosítja, hogy ez a kkv biztonságos hálózati környezetbe kerüljön.
Egy esettanulmány
Egy újonnan induló kkv (kis- és középvállalkozás), amelynek székhelye Lutonban található, és amely elektronikus kormányzati modellel rendelkezik, nemrégiben kezdett anomáliákat észlelni a számviteli és terméknyilvántartásaiban. Elvégezte a rendszer naplófájljainak első ellenőrzését, és számos gyanús bejegyzést és IP-címet talált, amelyeken nagy mennyiségű adatot küldtek a vállalat tűzfalán kívülre. A közelmúltban több vásárlói panasz is érkezett hozzájuk, miszerint a megrendelés feldolgozása során gyakran furcsa üzenet jelenik meg, és gyakran egy nem legitimnek tűnő fizetési oldalra irányítják át őket.
A vállalat egy általános célú eBusiness csomagot (OSCommerce) használ, és egy kis, hat fős informatikai támogatói csapattal rendelkezik, de úgy érzik, hogy nincs meg a szükséges szakértelem egy teljes körű malware/forenzikus vizsgálat elvégzéséhez.
Mivel a hi-tech területen fokozódik a verseny, a vállalat igyekszik biztosítani, hogy rendszereiket ne veszélyeztessék, ezért digitális törvényszéki nyomozót alkalmaztak annak megállapítására, hogy történt-e rosszindulatú tevékenység, és annak biztosítására, hogy a rendszereikben ne legyen rosszindulatú szoftver.
Az Ön feladata, hogy kivizsgálja a csapat gyanúját, és javaslatot tegyen a csapatnak, hogyan fertőtleníthetik a rosszindulatú szoftverrel érintett gépeket, és hogyan győződhetnek meg arról, hogy a telephelyükön vagy a hálózaton belül más gépeket nem fertőztek meg. A csapat azt is szeretné, ha digitális törvényszéki vizsgálatot végeznél, hogy kiderítsd, ki tudod-e nyomozni a problémák okát, és ha szükséges, készítsd elő az ügyet az elkövetők ellen.
A vállalat Windows Server NT-t használ a szervereihez. A javításokat az informatikai támogató csapat havonta alkalmazza, de a csapat észrevette, hogy számos gépen nem látszik, hogy javítás történt volna.
Teljesítendő feladatok
Ez a feladat egy 5000 szavas jelentés, amelyben megvitatja, hogyan közelítené meg a következőket:
– Rosszindulatú szoftverek vizsgálata
– Digitális törvényszéki vizsgálat
Az Ön által használt módszertan általános áttekintését kell tárgyalnia, és indoklással kell alátámasztania, hogy a választott módszertan miért releváns.
Azt a folyamatot is meg kell tárgyalnia, amelyet a bizonyítékok gyűjtéséhez fog alkalmazni, és ki kell térnie a digitális bizonyítékok gyűjtése során követendő vonatkozó irányelvekre.
A jelentésében szereplő vita keretében kritikusan értékelnie kell a digitális törvényszéki vagy rosszindulatú szoftverekkel kapcsolatos vizsgálatokhoz használt meglévő eszközöket és technikákat, és értékelnie kell azok hatékonyságát, kitérve olyan kérdésekre, mint az alkalmazott megközelítések következetessége, a törvényszéki nyomozók által szükséges készségek és a meglévő módszerekkel kapcsolatos problémák (különös tekintettel az ilyen vizsgálatok elvégzésére vonatkozó egységes, globális megközelítés hiányára és azokra a problémákra, amelyek akkor merülhetnek fel, ha nemzetközi határokat átlépő vizsgálatot kell végezni).
Association of Chief Police Officers (ACPO)
Ez a törvényszéki vizsgálat az Association of Chief Police Officers (ACPO) iránymutatásainak és négy alapelvének megfelelően kerül lefolytatásra. A számítógépes elektronikus bizonyítékokkal kapcsolatban négy ACPO-elv érvényesül. Ezeket az elveket kell követni, amikor valaki a számítógépes törvényszéki vizsgálatot végzi. Ezen elvek összefoglalása a következő (ACPO, 2013);
1. alapelv: A számítógépen vagy adathordozón tárolt adatokat nem szabad megváltoztatni vagy megváltoztatni, mivel ezek az adatok később a bíróság előtt bemutatásra kerülhetnek.
2. alapelv: A személynek eléggé hozzáértőnek kell lennie a számítógépen vagy adathordozón tárolt eredeti adatok kezeléséhez, ha szükséges, és képesnek kell lennie arra is, hogy bizonyítékot szolgáltasson, amelyben megmagyarázza a cselekményei jelentőségét és menetét.
3. alapelv: A számítógépes elektronikus bizonyítékokra alkalmazott valamennyi folyamatról ellenőrzési nyomvonalat vagy egyéb dokumentációt kell létrehozni és megőrizni. Egy független harmadik félnek képesnek kell lennie arra, hogy megvizsgálja ezeket a folyamatokat, és ugyanerre az eredményre jusson.
4. alapelv: A nyomozásért felelős személynek általános felelősséget kell viselnie a törvény és az ACPO alapelveinek betartásáért való elszámolásért.
Computeres nyomozási modell
Kruse II, W.G. szerint, és Heiser, J.G. (2010) szerint a számítógépes nyomozás a bizonyítékok azonosítását, megőrzését, kivonatolását, az egyes folyamatok dokumentálását és érvényesítését, valamint a bizonyítékok elemzését jelenti, hogy megtaláljuk a kiváltó okot, és ezáltal ajánlásokat vagy megoldásokat adjunk.
“A számítógépes törvényszéki vizsgálat új terület, és a bíróságok és az iparágak között kevesebb a szabványosítás és a következetesség” (US-CERT, 2012). Minden számítógépes törvényszéki modell egy adott területre, például a bűnüldözésre vagy az elektronikus bizonyítékok feltárására összpontosít. Nincs egyetlen, általánosan elfogadott digitális törvényszéki vizsgálati modell. Általánosan elfogadott volt azonban, hogy a digitális törvényszéki modell keretének rugalmasnak kell lennie, hogy bármilyen típusú incidenst és új technológiát támogatni tudjon (Adam, R., 2012).
Kent, K., et.al, (2006) kidolgozott egy alapvető digitális törvényszéki vizsgálati modellt, amelyet négylépéses törvényszéki eljárásnak (FSFP) neveztek el, Venter (2006) azon elképzelésével, hogy a digitális törvényszéki vizsgálatot akár nem műszaki szakemberek is elvégezhetik. Ez a modell nagyobb rugalmasságot biztosít, mint bármely más modell, így egy szervezet a felmerült helyzetek alapján a legmegfelelőbb modellt alkalmazhatja. Ezek az okok miatt választottuk ezt a modellt ehhez a vizsgálathoz. Az FSFP a következő négy alapfolyamatot tartalmazza, amint az az ábrán látható:
1. ábra: FSFP törvényszéki vizsgálati modell
Forrás:
A “Bizonyítékok megőrzése és dokumentálása” nyílvessző azt jelzi, hogy a nyomozás során minden bizonyítékot meg kell őriznünk és dokumentálnunk kell, mivel ezek bizonyos esetekben bizonyítékként a bíróság elé kerülhetnek. Az FSFP vizsgálati modell minden egyes folyamatát vagy szakaszát a következő szakaszokban tárgyaljuk.
Vizsgálat terjedelme
A törvényszéki vizsgálatok terjedelme ebben az esetben a következő:
- A rosszindulatú tevékenységek azonosítása az 5W (Miért, Mikor, Hol, Mi, Mi, Ki) tekintetében.
- A hálózatuk biztonsági hiányosságainak azonosítása.
- A hálózati rendszer veszélyeztetése esetén a hatás megállapítása.
- A jogi eljárások meghatározása, ha szükséges.
- A korrekciós intézkedések megtétele a rendszer megerősítése érdekében.
A nyomozás jogi kihívásai
Nelson szerint B., et al., (2008) szerint a törvényszéki vizsgálatunk megkezdése előtti jogi kihívások a következők:
-
Meghatározzuk, hogy szükség van-e a bűnüldöző szervek segítségére, és ha igen, akkor a vizsgálat során segítségükre lehetnek, vagy pedig a vizsgálat végén be kell nyújtanunk nekik a vizsgálati jelentést.
-
A törvényszéki vizsgálat elvégzéséhez írásos engedély beszerzése, hacsak nincs más eseménykezelési engedélyezési eljárás.
-
A jogi tanácsadókkal való megbeszélés a lehetséges problémák azonosítása érdekében, amelyek a vizsgálatok nem megfelelő kezelése során felmerülhetnek.
-
Az ügyfelek bizalmas és adatvédelmi kérdéseinek figyelembevétele.
Előzetes előkészítés
A vizsgálat megkezdése előtt nyilvánvaló, hogy a vizsgálat hatékony lefolytatása érdekében előkészítésre van szükség. Ez a nyomozás proaktív intézkedésnek tekinthető (Murray, 2012). Az előkészítési szakaszban a következő lépéseket kell megtenni:
-
Az összes rendelkezésre álló információ összegyűjtése az eset értékeléséről, például az eset súlyosságáról.
-
A vizsgálatnak a kkv vállalkozására gyakorolt hatásának meghatározása, például a hálózat leállási ideje, az incidensből való helyreállítás időtartama, a bevételkiesés és a bizalmas információk elvesztése.
-
A hálózatokra, hálózati eszközökre, például routerre, switchekre, hubokra stb. vonatkozó információk beszerzése, hálózati topológiai dokumentáció, számítógépek, szerverek, tűzfal és hálózati diagram.
-
A külső tárolóeszközök, például pendrive, pendrive, külső merevlemez, CD, DVD, memóriakártyák és távoli számítógépek azonosítása.
-
A nyomozás során felhasználható törvényszéki eszközök azonosítása.
-
Élő hálózati forgalom rögzítése, amennyiben a gyanús tevékenységek még mindig folyamatban vannak a “netmon” eszközökkel.
-
A nyomozás során végzett összes tevékenység dokumentálása, amely a bíróságon felhasználható a nyomozás során követett eljárás igazolásához.
-
A céleszközök merevlemezének képalkotása és MD5-ös hash-elésük az adatok sértetlensége érdekében.
Begyűjtés
“A gyűjtési fázis a folyamat első fázisa, amelynek célja a releváns adatok lehetséges forrásainak azonosítása, címkézése, rögzítése és beszerzése, miközben az adatok integritását megőrző irányelveket és eljárásokat követi” (CJCSM 6510.01B, 2012). Két különböző típusú adatot lehet gyűjteni egy számítógépes törvényszéki vizsgálat során. Ezek az illékony adatok és a nem illékony adatok (tartós adatok). Az illékony adatok olyan adatok, amelyek akkor léteznek, amikor a rendszer be van kapcsolva, és a kikapcsoláskor törlődnek, pl. a véletlen hozzáférésű memória (RAM), a rendszerleíró adatbázis és a gyorsítótárak. A nem illékony adatok olyan adatok, amelyek bekapcsolt vagy kikapcsolt állapotban is léteznek a rendszerben, pl. a HD-ban lévő dokumentumok. Mivel az illékony adatok rövid életűek, a számítógépes törvényszéki nyomozónak tudnia kell, hogyan lehet a legjobban rögzíteni őket. A bizonyítékokat helyben vagy távolról lehet gyűjteni.
Volatile Data
A következő ábra az illékony adatok rögzítését mutatja be. A törvényszéki munkaállomásnak ugyanabban a LAN-ban kell lennie, ahol a célgép, jelen esetben a Windows NT Server található. A törvényszéki munkaállomáson a ‘Cryptcat’ eszközöket lehet használni a Windows NT szerver portjának figyelésére. Hozzuk létre a megbízható eszközkészlet optikai meghajtóját a Windows NT szerveren, és nyissuk meg a megbízható konzol cmd.exe programot, és használjuk a következő parancsot:
cryptcat <ip address> 6543 -k key
A törvényszéki munkaállomáson az adatok rögzítéséhez a következő parancsot használjuk:
cryptcat -l -p 6543 -k key >> <fájlnév>
2. ábra: Volatilis adatgyűjtés beállítása
Forrás:
A következő táblázat a számítógépes törvényszéki vizsgálat során használható grafikus felhasználói felület eszközeit, valamint azok használatát és eredményét mutatja be.
Táblázat 1: Volatile Data Forensic Tools and their usage and outcome
Forrás: Volatile Data Forensic Tools and their usage and outcome
Forrás: Reino, A, (2012)
: Reino, A., (2012)
Az illékony adatok rögzítéséhez különböző Windows-alapú eszközöket is használunk a következők szerint:
HBGray’s FastDump – Helyi fizikai memória megszerzése.
HBGray’s F-Response – Távoli fizikai memória megszerzése
ipconfig – A tárgyrendszer adatainak összegyűjtése.
netusers és qusers – Bejelentkezett felhasználók azonosítása
doskey/history – Parancselőzmények gyűjtése
netfile – Szolgáltatások és illesztőprogramok azonosítása
Végül a vágólap tartalmának gyűjtése is nagyon fontos egy számítógépes törvényszéki vizsgálat során. Egy még futó gépről több bizonyítékot lehet találni, így ha az anomáliák még mindig ott vannak a KKV-ban, akkor a futó folyamatokból, a hálózati kapcsolatból és a memóriában tárolt adatokból sok fontos bizonyítékot nyerhetünk ki. Sok bizonyíték van, amikor a gép illékony állapotban van, ezért biztosítani kell, hogy az érintett számítógépek ne legyenek leállítva az ilyen bizonyítékok összegyűjtéséhez.
Nem illékony adatok
Amikor az illékony adatok rögzítése megtörtént, megvizsgáljuk a nem illékony adatokat. A nem-illékony adatok gyűjtésének első lépése a teljes célrendszer tartalmának másolása. Ezt “törvényszéki képalkotásnak” is nevezik. A képalkotás segít megőrizni az eredeti adatokat bizonyítékként, anélkül, hogy a törvényszéki vizsgálat során bekövetkező meghibásodások vagy változások az adatokban bekövetkeznének. A törvényszéki képalkotást olyan törvényszéki eszközökkel hozzák létre, mint az EnCase, a ProDiscover és az FTK. A törvényszéki nyomozó írásblokkolót használ a célrendszerhez való csatlakozáshoz, és a célmeghajtó teljes tartalmának másolását egy másik tárolóeszközre az említett törvényszéki eszközök bármelyikének használatával. A merevlemez klónozása nem más, mint a teljes rendszer másolatának elkészítése. A különbség a törvényszéki képalkotás és a merevlemez klónozása között az, hogy a törvényszéki képalkotáshoz törvényszéki eszközök nélkül nem lehet hozzáférni, de a merevlemez klónozásához könnyen hozzá lehet férni a meghajtó csatlakoztatásával. A merevlemez klónozása csak egy nyers képet tartalmaz, és minden bitet lemásol, és semmilyen más extra tartalom nem kerül hozzá. A törvényszéki képalkotás metaadatokat, azaz hash-okat és időbélyegeket tartalmaz, és tömöríti az összes üres blokkot. A törvényszéki képalkotás MD5-ös vagy SHA-2-es hash-t használ a digitális bizonyítékok integritásának biztosítása érdekében (Nelson, B., et al., 2008).
Az adatgyűjtés offline nyomozás és online nyomozás során is elvégezhető. A törvényszéki képalkotás offline nyomozással végezhető. Az élő hálózati forgalom online nyomozással végezhető az ethereal vagy Wireshark eszközök használatával. A tűzfal naplók, vírusirtó naplók és tartományvezérlő naplók a vizsgálathoz a nem-illékony adatgyűjtés keretében kerülnek összegyűjtésre. Gyűjteni fogjuk továbbá a webszerver naplókat, a Windows eseménynaplókat, az adatbázis naplókat, az IDS naplókat és az alkalmazási naplókat. Miután összegyűjtöttük az összes digitális bizonyítékot, azokat dokumentálni kell a felügyeleti lánc naplódokumentációjában. A felügyeleti napló dokumentáció láncolata a bizonyítékok integritásának fenntartására szolgál a vizsgálat kezdetétől a végéig, amíg ez a vizsgálati jelentés bemutatásra kerül (Nelson, B., et al., 2008).
A további folyamatok elvégzése előtt bitről bitre le kell képeznünk a lemezt, amely hozzáfér a teljes kötethez és lemásolja az eredeti adathordozót, beleértve a törölt fájlokat is. Miután a lemezt leképeztük, mindent hash-olni kell, ami biztosítja, hogy az adatok hitelesek legyenek, és az adatok integritása a vizsgálat során végig megmaradjon. A hash-értékeket több helyen kell rögzíteni, és biztosítani kell, hogy az adatok begyűjtésétől a vizsgálat végéig nem változtatunk az adatokon. A legtöbb eszköz úgy segít ennek elérésében, hogy csak olvasható állapotban fér hozzá az adathordozóhoz (SANS, 2010). A digitális törvényszéki vizsgálathoz ebben az esetben a célrendszer merevlemezeit, a külső tárolóeszközöket és a Windows NT Server merevlemezét kell beszerezni.
Vizsgálat
Mihelyt összegyűjtöttük az összes rendelkezésre álló bizonyítékot, a vizsgálatot különböző számítógépes törvényszéki vizsgálati eszközök segítségével kell elvégeznünk. A fájlrendszer, a Windows registry, a hálózat és az adatbázis törvényszéki vizsgálatát is megvizsgáljuk, az alábbiak szerint:
Fájlrendszer vizsgálata
Az NTFS a New Technology File System és az NTFS Disk egy fájl. Az MFT a Master File Table, amely az összes fájlra és lemezre vonatkozó információt tartalmazza, és egyben az első fájl az NTFS-ben. Az MFT-ben lévő rekordokat metaadatoknak is nevezik. A metaadatok az adatokról szóló adatok (Nelson, B., et. al., 2008). A fájlok kétféleképpen tárolhatók az MFT-ben: rezidens és nem rezidens módon. Az 512 bájtnál kisebb méretű fájlokat rezidens fájlként lehet elhelyezni az MFT-ben, az 512 bájtnál nagyobb méretű fájlokat pedig nem rezidens fájlként az MFT-n kívül lehet tárolni. Amikor egy fájlt a Windows NT-ben törölnek, az operációs rendszer átnevezi a fájlt, és egyedi azonosítóval a szemetesládába helyezi. Az operációs rendszer az info2 fájlban tárolja az eredeti elérési útvonalra és a fájl eredeti nevére vonatkozó információkat. Ha azonban egy fájl törlődik a Recycle binből, akkor a hozzá tartozó fürtöket új adatok számára elérhetőnek jelöli. Az NTFS hatékonyabb, mint a FAT, mivel gyorsabban visszaszerzi a törölt helyet. Az NTFS lemezek adatfolyamot képeznek, ami azt jelenti, hogy egy másik meglévő fájlhoz csatolhatók. Egy adatfolyam fájlt a következőképpen lehet tárolni:
C:echo text_mess > file1.txt:file2.txt
Ezt a fájlt a következő paranccsal lehet előhívni:
C:more < file1.txt:file2.txt
A W2K.Stream és a Win2K.Team olyan vírusok, amelyeket egy adatfolyam felhasználásával fejlesztettek ki, és azzal a szándékkal fejlesztették ki őket, hogy megváltoztassák az eredeti adatfolyamot. Nyomozóként alaposan ismernünk kell a Windows FAT és NTFS fájlrendszereit (Nelson, B., et. al., 2008).
Windows Registry vizsgálata
Az (Carvey, H., 2005) a rendszerleíró adatbázis naplófájlként kezelhető, mivel olyan adatokat tartalmaz, amelyeket egy törvényszéki nyomozó lekérdezhet a társított kulcsértékek az úgynevezett “Lastwrite” idő, amelyet FILETIME-ként tárolnak, és egy fájl utolsó módosítási idejének tekintik. A fájlok esetében gyakran nehéz pontosan meghatározni a fájl módosításának dátumát és időpontját, de a Lastwrite megmutatja, hogy mikor módosították utoljára a rendszerleíró adatbázist. A fantasztikus áttekint néhány bizonyos lépést (Carvey, H., 2005), amelyek az alábbiakban vannak felsorolva, hogy elemezze a windows registry a szervezet, hogy biztosítsa a probléma a szervezeten belül és kívül ismert, és megoldják a cég hírnevének védelme és fenntartása érdekében.
A Windows registry a Microsoft által a Windows 98, Windows CE, Windows NT és Windows 2000 rendszerekben használt számítógépen lévő adatbázisok rendje a felhasználói vagy felhasználói alkalmazás és a hardvereszközök konfigurációjának tárolására, amelyet referenciapontként használnak egy program vagy folyamatok végrehajtása során (Windows, 2013). A windows registry általános felépítése “Hive”-okra oszlik, amelyek a következők:
-
HKEY_CLASSES_ROOT: biztosítja a szükséges programok végrehajtását.
-
HKEY_CURRENT_USER: az aktuálisan a rendszerbe bejelentkezett felhasználó általános adatait tartalmazza.
-
HKEY_LOCAL_MACHINE: a hardverre, meghajtókra stb. vonatkozó információkat tartalmazza. egy rendszerről.
-
HKEY_USERS: az adott rendszerben lévő felhasználók összes információját tartalmazza.
-
HKEY_CURRENT_CONFIG: a rendszer jelenlegi konfigurációjára vonatkozó információkat tárolja.
A Windows registry illékony és nem illékony információkból áll. Ez azt jelenti, hogy a nyomozónak legalább ismernie kell a Window registry egyes kaptárak, kulcsok, adatok és értékek jelentését és működését, mielőtt bármilyen törvényszéki vizsgálatot folytatna egy számítógépen, hogy sikeres törvényszéki vizsgálati jelentést kapjon.
Autostart helye: az a hely a registryben, ahol az alkalmazások úgy vannak beállítva, hogy felhasználói kezdeményezés nélkül induljanak el. Ezzel a funkcióval a Luton SME-t érintő rosszindulatú szoftver tartósan futhat a gép bekapcsolásakor, közvetlen felhasználói beavatkozás nélkül, mivel eleve úgy programozták, hogy automatikusan elindítsa magát, vagy amikor a felhasználó bizonyos parancsokat vagy folyamatokat futtat.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option: a Windows registryben található kulcs, amelyet a támadó az alkalmazás eredeti példányának átirányítására használhat a trójai másolatára (Carvey, H., 2005). A Luton SME-t érheti ez a támadás: az ügyfél fizetési oldalának átirányítása egy illegitim oldalra.
A törvényszéki nyomozó megvizsgálhatja az automatikus indítás helyét, hogy megállapítsa, hogy a Luton SME probléma egy felhasználó, egy rosszindulatú program vagy egy támadó által a szervezeten végrehajtott művelet eredménye. A (Carvey, H., 2005) szerint az autolokációhoz való hozzáférés megbízható módja a SysInternals.com AutoRuns eszközeinek használata, amelyek az autostart helyek listáját adhatják meg.
A felhasználó tevékenysége: A felhasználó akciói és tevékenységei a HKEY_CUREENT_USER kaptárban vizsgálhatók, amely a HKEY_USERSID kaptárból jön létre. A felhasználói információk a HKEY_CURRENT_USER-re vannak leképezve. Az NTUSER.DAT a felhasználó registry specifikációs beállításaira vonatkozó információkat tartalmazza. Ennek a kaptárnak a vizsgálata jó támpontot ad a törvényszéki nyomozónak a felhasználó által végzett tevékenységekről és műveletekről.
Most Recent Used (MRU) List: Az MRU tárolja a felhasználó által a közelmúltban végzett konkrét műveleteket, és nyomon követi a tevékenységeket a későbbi hivatkozáshoz. Például a HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU a felhasználó által végrehajtott parancsok listáját tartja fenn. Minden egyes végrehajtott parancs a futtatási mezőben egy kulcsérték-bejegyzést ad a kaptárhoz, az alábbiak szerint:
3. ábra: Az ExplorerRunMRU kulcs tartalma.
Forrás: ExplorerRunMRU: (2005)
A törvényszéki nyomozó tanulmányozhatja ezt a kaptárat, hogy az MRU-listából az egyes parancsok utolsó írási idejét a fentiekben bemutatott módon tudja kinyerni. Ezzel a SME Luton nyomozója képes lesz elemezni a nyilvántartásból, hogy felhasználói tevékenység, rosszindulatú program akciója vagy a szervezetet érő támadás volt-e.
UserAssist: szerint (Carvey, H., 2005) a UserAssist, amely a HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist kaptár alatt található, két kulcsból áll, amelyek általában globálisan egyedi azonosítóknak tűnnek, amelyek titkosított nyilvántartást vezetnek minden olyan objektumról, alkalmazásról stb. amit a felhasználó a rendszerben elért. Ha egy nyomozó hozzáfért a titkosított rekordhoz, ami már nem végleges, az utalhat valamilyen műveletre, amit a felhasználó egy alkalmazáson vagy bármilyen tevékenységén keresztül a malware-t kiváltotta.
USB cserélhető tároló: Farmer, College és Vermont (2008) szerint a rendszerhez csatlakoztatott összes eszközt a számítógép rendszerleíró adatbázisában a következő kulcs alatt tartják nyilván: HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Az alábbi ábrán egy pendrive USB-meghajtó meghajtóazonosítóinak példája látható:
Figure4: Példa az USBSTOR kulcs tartalmára, amely az eszközpéldányok azonosítóit mutatja.
Forrás: (2005)
A szerelt meghajtó kaptárának felhasználásával a nyomozónak támpontja lesz, amikor elemzi a regisztrációs adatbázisban tárolt eszközazonosító tartalmát, hogy megtudja, melyik eszközt szerelték a Luton KKV szervezetére. Az egyes értékkulcsok kitartó vizsgálatával a nyomozó azonosíthatja a cserélhető USB-tárolóeszközöket, és a parentidprefixhez rendelheti őket.
Vezeték nélküli SSID-k: A (Carvey, H., 2005) szerint a számítógépen használt vezeték nélküli hálózatok SSID-jei a HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface alatt találhatók. A kulcsértékekre navigálva olyan alkulcsokat tartalmaznak, amelyek globálisan egyedi azonosítóknak tűnnek, amelyeket megnyitva a nyomozó az ActiveSettings-be navigálhat, amely minden egyes vezeték nélküli SSID-t bináris adattípus formájában tárja fel. Ha jobb gombbal kattint a módosításhoz, akkor az SSID-ket egyszerű írott formátumban tárja fel. Bár az IP-cím és egyéb hálózati információk a HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID alatt találhatók, a nyomozó felhasználhatja ezeket az információkat arra, hogy a Luton KKV szervezetében lévő felhasználót egy adott időszakhoz kösse, ha a személy IP-címe a fenti Window regiszter alatt felfedezhetőnek tűnik.
A Windows registry szintén létfontosságú bizonyítékforrás lehet egy törvényszéki vizsgálat során, ha a nyomozó tudja, hogy honnan szerezheti be a rendelkezésre álló adatokat, amelyek jól bemutathatók a Luton SME szervezet számára. A Fantastic megpróbált elemezni néhány alapvető Windows registry-t, amely a weboldalának átirányítását okozhatta, nyomon követte a felhasználói tevékenységet és a felhasználó által végrehajtott összes szükséges programot, a szerveren vagy a szervezet bármely számítógépén használt eszközöket, és feltárta a felhasználók IP-címét is.
Hálózati törvényszéki vizsgálat
A hálózaton zajló események megszerzését, összegyűjtését és elemzését hálózati törvényszéki vizsgálatnak nevezzük. Néha csomagtörvényszéki vagy csomagbányászat néven is ismert. A hálózati törvényszéki vizsgálat alapvető célja ugyanaz, vagyis a hálózati forgalomban szereplő csomagokról, például a levelekről, a lekérdezésekről, a webes tartalmak böngészéséről stb. szóló információk összegyűjtése, és ezen információk egy forrásnál történő tárolása, majd további vizsgálat elvégzése (WildPackets, 2010).
A hálózati törvényszéki vizsgálat két fő módon alkalmazható. Az első a biztonsággal kapcsolatos, amikor a hálózatot figyelik a gyanús forgalom és bármilyen behatolás szempontjából. Lehetséges, hogy a támadó törli az összes naplófájlt egy fertőzött állomásról, így ebben a helyzetben a hálózati alapú bizonyítékok kerülnek előtérbe a törvényszéki elemzésben. A hálózati helyszínelés második alkalmazása a bűnüldözéshez kapcsolódik, ahol a rögzített hálózati forgalmat a hálózaton keresztül továbbított fájlok összegyűjtésére, kulcsszavak keresésére és az emberi kommunikáció elemzésére lehet felhasználni, amely e-maileken vagy más hasonló munkameneteken keresztül történt. (Hunt, 2012)
Tools and Techniques of Network Forensics
Minden műveletet elvégezhetünk egy törvényszéki indítható DVD/CD-ROM, USB flash meghajtó vagy akár egy floppy lemez segítségével. Először is ki kell ürítenünk a memóriát, és ezt lehetőleg egy megfelelő méretű USB Flash meghajtóval végezzük. Kockázatfelmérést is el kell végeznünk, amikor illékony adatok gyűjtésére készülünk, hogy felmérjük, biztonságos és releváns-e az ilyen élő adatok gyűjtése, amelyek nagyon hasznosak lehetnek egy nyomozás során. A folyamat során végig törvényszéki eszközkészleteket kell használnunk, mivel ez segít megfelelni a törvényszéki vizsgálat követelményeinek. Ezeknek az eszközöknek megbízhatónak kell lenniük, és az ingyenesen terjesztettektől a kereskedelmi eszközökig beszerezhetők. (7safe, 2013)
Egy futó gépről néhány nagyon fontos és diszkrét információt kell gyűjteni, megbízható eszközök segítségével, mint például:
-
Folyamatlisták.
-
Szolgáltatások listája.
-
Rendszerinformációk.
-
Bejelentkezett és regisztrált felhasználók.
-
Hálózati kapcsolatok.
-
Regisztrációs információk.
-
Memória bináris dumpja.
A hálózati törvényszéki eszközöknek számos fajtája létezik, mindegyik más-más funkcióval. Egyesek csak csomagszippantók, mások pedig azonosítással, ujjlenyomatok készítésével, helymeghatározással, feltérképezéssel, e-mail kommunikációval, webes szolgáltatásokkal stb. foglalkoznak. Az alábbi táblázat felsorol néhány nyílt forráskódú, hálózati törvényszéki vizsgálatra használható eszközt és azok funkcióit. (Hunt, 2012)
Tool | Platform | Web Site | Attributes |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: Filter & collect; L: Log analysis; R: Reassembly of data stream; C: Correlation of data; A: Application Layer view
Table 2: Network Forensic Tools
Source: (Hunt, 2012)
Adatbázis törvényszéki vizsgálat
Az adatbázis olyan adat- vagy információgyűjtemény, amely fájlok vagy fájlok gyűjteménye formájában jelenik meg. Az adatok lekérdezése az adatbázisból egy sor lekérdezéssel történhet. Az adatbázis-törvényszéki vizsgálat úgy határozható meg, mint a számítógépes nyomozás és az elemzési technikák alkalmazása az adatbázisból származó bizonyítékok összegyűjtésére, hogy azokat bíróság előtt bemutathassák. Törvényszéki vizsgálatot kell végezni az adatbázisokon, mert egy adatbázis érzékeny adatokat tartalmaz, ahol nagy az esélye annak, hogy a behatolók megsértik a biztonságot, hogy megszerezzék ezeket a személyes adatokat.
Az esettanulmányban szerepel, hogy nagy mennyiségű adatot küldenek ki az adatbázisból, ezért most a Fantastic csapat feladata, hogy törvényszéki eszközök segítségével törvényszéki vizsgálatot végezzen az adatbázisban. Az adatbázis-helyszínelők az adatok azonosítására, megőrzésére és elemzésére összpontosítanak. Khanuja, H.K. és Adane, D.S., (2011) szerint az adatbázishoz való hozzáféréshez a felhasználóknak engedélyeket, például engedélyezést és hitelesítést kell kapniuk az adatbázis-kiszolgálóktól. Ha az engedélyezés megtörtént, csak a felhasználó férhet hozzá az adatokhoz, és ha kívánja, módosíthatja az adatokat. Ha most megnézzük az adatbázis ellenőrzési naplóit, akkor megkapjuk azoknak a felhasználóknak a listáját, akik engedélyt kaptak az adatokhoz való hozzáférésre. A csapatnak meg kell keresnie az adatbázisban azokat az IP-címeket, amelyek távolról csatlakoznak, mert van esély arra, hogy az adatokat az engedélyezett felhasználó vagy az illetéktelen felhasználó megváltoztatja.
Dave, P., (2013) szerint a vizsgálat segítségével nyomon követhetjük a DDL (Data Definition Language) műveleteit, amelyeket az adatbázis szerkezetének meghatározására használnak, és a DML (Data Manipulation Language) műveleteit, amelyeket az adatok kezelésére használnak az adatbázisban, és azonosítani tudjuk, hogy történtek-e előzetes és utólagos tranzakciók az adatbázisban. Ez a vizsgálat abban is segíthet, hogy megtudjuk, vannak-e olyan adatsorok, amelyeket a felhasználó szándékosan törölt, és képes helyreállítani azokat, és abban is segít, hogy bizonyítsuk vagy cáfoljuk, hogy az adatbiztonság megsértése történt az adatbázisban, és segít az adatbázisba való behatolás mértékének meghatározásában. A Windows forensic v1.0.03 eszközt egy testreszabott konfigurációs fájl segítségével használjuk, amely a DMV (Distributed Management Views) és a DBCC (Database Consistency Checker) parancsokat hajtja végre az adatok összegyűjtéséhez, amelyek elegendőek a behatolás bizonyításához vagy cáfolatához, ahogyan azt korábban említettük (Fowler, K., 2007).
Analysis
Először elemeznünk kell az összegyűjtött és megvizsgált bizonyítékokat. Megvizsgáljuk az adatokat, hogy láthassuk, hogy vannak-e rejtett fájlok vagy szokatlan fájlok, vagy sem. Ezután, hogy fut-e bármilyen szokatlan folyamat, és hogy vannak-e szokatlanul megnyitott aljzatok. Azt is megnézzük, ha bármilyen alkalmazáskérés szokatlanul történt. Ezután ellenőrizzük a fiókot, hogy van-e szokatlan fiók vagy sem. Megkeressük a javítási szintű rendszert is, hogy frissítve van-e vagy sem. Ezeknek az elemzéseknek az eredménye alapján megtudjuk, hogy vannak-e rosszindulatú tevékenységek vagy sem. Ezután további stratégiát dolgozunk ki a törvényszéki vizsgálathoz, mint például a memória teljes elemzése, a fájlrendszerek teljes elemzése, az események korrelációja és az idővonal elemzése (Nelson, B., et. al., 2008). Az esettanulmány szerint a hálózati rendszerükben rosszindulatú tevékenységek vannak jelen, és ezt a kezdeti elemzésünk is megerősítette. Annak érdekében, hogy megtaláljuk a rosszindulatú kód képességeit és célját, el kell végeznünk a malware futtatható elemzést. A rosszindulatú programok futtatható elemzése statikus elemzésre és viselkedéselemzésre osztható.
Malware Analysis
A Verizon “2012 Data Breach Investigations Report” című jelentése szerint a sebezhetőségek 99%-a néhány nap vagy annál kevesebb idő alatt vezetett az adatok veszélyeztetéséhez, míg 85%-ának kivizsgálása több hetet vett igénybe. Ez komoly kihívást jelent a biztonsági részlegek számára, mivel a támadók sok időt kapnak arra, hogy egy veszélyeztetett környezetben dolgozzanak. A több “szabadidő” több ellopott adathoz és komolyabb károkhoz vezet. Ez főként annak köszönhető, hogy a jelenlegi biztonsági intézkedések nem alkalmasak az összetettebb fenyegetések kezelésére (2012 Data Breach Investigations Report, Verizon, 2012).
A rosszindulatú szoftverek helyszínének vizsgálatakor a lényeg: a Windows PC bizonyos részei jó úton haladnak a rosszindulatú szoftverek telepítésével és felhasználásával azonosítható adatok tárolása felé. Az elcserélt keretek jogi vizsgálatai magukban foglalták a rekord hash-értékek, az aláírási zavarok, a csomagolt fájlok, az ütközésnaplók, a rendszer-visszaállítási pontok és a pagefile ellenőrzését. A fájlrendszerek és az eseménynaplók világméretű vizsgálata irányítható a rosszindulatú szoftverek rendszerben történő animálásának ideje körüli gyakorlatok megkülönböztetésére. A haladó szakemberek emellett felülvizsgálhatják a nyilvántartást is a szokatlan belépések, például az automatikus indítási területek és a rosszindulatú szoftver telepítésének ideje körüli kiigazítások szempontjából. Kulcsszóvadászatokat lehet végezni, hogy felfedezzék a rosszindulatú szoftverekre való hivatkozásokat és más alku tárgyát képező gazdatestekkel való társulásokat. A szokásos támadási vektorok felismerhetők, beleértve az e-mail mellékleteket, a webböngészési előzményeket és a jogosulatlan bejelentkezéseket.
A Syngress “Malware Forensics – Investigating and Analyzing Malicious Code, 2003” című kiadványa szerint a következők alapján kell vizsgálatot végezni:
-
Kutatás ismert rosszindulatú szoftverek után
-
Telepített programok áttekintése
-
Előkérdezés vizsgálata
-
Végrehajtható programok vizsgálata
-
Automatikus programok áttekintése
-
Az automatikusstart
-
Tervezett munkák áttekintése
-
Naplók vizsgálata
-
Felhasználói fiókok áttekintése
-
Fájlrendszer vizsgálata
-
Fájlrendszer vizsgálata
-
Regiszter vizsgálata
-
Megújítási pontok
-
Kulcsszavak keresése
A rosszindulatú programok elemzésének megkezdése előtt, létre kell hoznunk a kártevőelemző környezetet, például a VMware-t és a Norton Ghostot. A VMware egy virtuális alapú malware-elemző környezet, a Norton Ghost pedig egy dedikált malware-elemző környezet.
Statikus elemzés
A statikus elemzés a malware-elemzés azon típusa, amely a malware-programozás futtatása nélkül végzi az elemzést. A statikus elemzés a biztonságos elemzés szempontjából jobb, mint a dinamikus elemzés. Mivel a rosszindulatú program nem fut, nem kell tartani a fájlok törlésétől vagy megváltoztatásától. Mindig az a legjobb, ha a statikus malware-elemzést egy másik operációs rendszerben végezzük, ahol a malware-t nem úgy tervezték, hogy fusson vagy hatással legyen rá. Mert a nyomozó véletlenül duplán kattinthat a rosszindulatú program futtatására, és az hatással lesz a rendszerre. A statikus elemzésnek nagyon sok módja van, mint például a File Fingerprinting, a Virus Scanning, a Packer Detection, a Strings, Inside the FE File Format és a Disassembly (Kendall, K., 2007).
Dinamikus elemzés
A dinamikus elemzés a malware elemzés olyan típusa, ahol a malware kód fut és megfigyelik a viselkedését. Más néven viselkedéses rosszindulatú programok elemzésének is nevezik. A dinamikus elemzést nem biztonságos elvégezni, hacsak nem vagyunk hajlandóak feláldozni a malware elemzési környezetet. A rosszindulatú programokat úgy elemezhetjük, hogy egyszerűen megfigyeljük a rosszindulatú programok funkcióinak viselkedését. A dinamikus malware-elemzés elvégzéséhez számos eszköz létezik, de a SysInternals Process Monitor és a Wireshark a leggyakrabban használt és ingyenes eszközök (Kendall, K., 2007).
A Kendall, K. szerint, (2007) szerint szinte minden rosszindulatú program esetében egy egyszerű statikus és dinamikus rosszindulatú programelemzés minden olyan választ megtalál, amelyre a rosszindulatú programokat vizsgálóknak szükségük lesz az adott rosszindulatú kóddal kapcsolatban.
Következtetések
Vizsgálatunk után a következőképpen foglaljuk össze megállapításainkat:
-
A támadó tartós távoli hozzáférését azonosítottuk a vállalat számítógépeihez.
-
A törvényszéki elemzés megállapította, hogy a rendszereket veszélyeztették.
-
Az operációs rendszer javításai nem voltak telepítve egyes rendszerekre.
-
A veszélyeztetett rendszerben feltételezett malware-t találtak.
-
A malware azonosítása és funkcionalitása & a malware célja arra engedett következtetni, hogy “spamming” malware-ről van szó.
-
Megállapítottuk, hogy a támadók a rosszindulatú szoftver segítségével férhettek hozzá az ügyfél rendszereihez a fizetési átjáró megfelelő weboldali linkjének megadásával.
Elhárítási intézkedések
A fentiekben a rosszindulatú szoftverek hálózatba jutásának leggyakoribb módjait vettük figyelembe. A fentiekből két fontos következtetést lehet levonni:
-
A legtöbb leírt módszer valamilyen módon az emberi tényezőhöz kapcsolódik, ezért az alkalmazottak képzése és a biztonsággal kapcsolatos rendszeres oktatás fokozza a hálózat biztonságát;
-
A legitim oldalak feltörésének gyakori esetei ahhoz vezetnek, hogy még egy hozzáértő felhasználó is megfertőzheti a számítógépét. Ezért előtérbe kerülnek a klasszikus védelmi intézkedések: a vírusirtó szoftverek, az utolsó frissítések időben történő telepítése és az internetes forgalom figyelése.
A Shiner, D.L.D. és Cross, M. szerint, (2002) szerint a rosszindulatú szoftverek elleni védekezésnek vannak főbb ellenintézkedései:
-
Autentikáció és jelszóvédelem
-
Vírusirtó szoftverek
-
Tűzfalak (hardveres vagy szoftver)
-
DMZ (demilitarizált zóna)
-
IDS (behatolásérzékelő rendszer)
-
csomagszűrők
-
Routerek és kapcsolók
-
Proxy szerverek
-
VPN (Virtuális magánhálózatok)
-
Logging és audit
-
Hozzáférés-ellenőrzési idő
-
A saját szoftver/hardver nem elérhető a nyilvánosság számára
A mi esetünkben, a leghasznosabbak a következők:
-
Tűzfal
-
Naplózás és ellenőrzés
A tűzfal minden, a felhasználó számítógépére belépő weboldalt ellenőriz. A tűzfal minden egyes weboldalt elfog és elemez rosszindulatú kódok után kutatva. Ha a felhasználó által megnyitott weblap rosszindulatú kódot tartalmaz, a hozzáférés blokkolva van. Ezzel egyidejűleg értesítést jelenít meg arról, hogy a kért oldal fertőzött. Ha a weboldal nem tartalmaz rosszindulatú kódot, azonnal elérhetővé válik a felhasználó számára.
Naplózás alatt az információs rendszerben bekövetkező eseményekre vonatkozó információk gyűjtését és tárolását értjük. Például, hogy ki és mikor próbált meg bejelentkezni a rendszerbe, és hogyan végződött ez a próbálkozás, ki és milyen információs erőforrásokat használt, mit és ki módosított az információs erőforrásokon, és még sok más.
Az audit a felhalmozott adatok azonnali, szinte valós időben végzett elemzése (Shiner, D.L.D. és Cross, M., 2002). A naplózás és az audit megvalósításának a következő fő céljai vannak:
-
A felhasználók és a rendszergazdák elszámoltathatósága;
-
lehetőség biztosítása az események rekonstruálására;
-
Az információbiztonság megsértésére tett kísérletek felderítése;
-
információk biztosítása a problémák azonosításához és elemzéséhez.
Biztonsági irányelvek
A szervezeti szintű biztonsági mechanizmusok értékelésének legteljesebb kritériumait az ISO 17799 nemzetközi szabvány tartalmazza: Code of Practice for Information Security Management, amelyet 2000-ben fogadtak el. Az ISO 17799 a BS 7799 brit szabvány nemzetközi változata. Az ISO 17799 az információbiztonsági menedzsment gyakorlati szabályait tartalmazza, és kritériumként használható a szervezeti szintű biztonsági mechanizmusok értékeléséhez, beleértve az adminisztratív, eljárási és fizikai biztonsági intézkedéseket (ISO/IEC 17799:2005).
A gyakorlati szabályok a következő szakaszokra oszlanak:
-
biztonsági politika;
-
információbiztonság megszervezése;
-
eszközgazdálkodás;
-
emberi erőforrás biztonság;
-
fizikai és környezeti biztonság;
-
kommunikáció és műveletirányítás;
-
hozzáférés-ellenőrzés;
-
információs rendszerek beszerzése, fejlesztése és karbantartása;
-
információbiztonsági incidensek kezelése;
-
üzletmenet-folytonossági irányítás;
-
megfelelés.
Ezek a szakaszok a kormányzati és kereskedelmi szervezetekben világszerte jelenleg alkalmazott szervezeti szintű biztonsági mechanizmusokat írják le (ISO1799, 2005).
Az internetre vonatkozó üzleti követelmények valamilyen kombinációjának fenti igényét figyelembe véve több kérdés is felmerül. Milyen szoftveres és hardveres, valamint szervezeti intézkedéseket kell bevezetni a szervezet igényeinek kielégítésére? Mekkora a kockázat? Milyen etikai normáknak kell megfelelnie a szervezetnek ahhoz, hogy feladatait az internet segítségével lássa el? Kinek kell ezért felelősséget vállalnia? Az ezekre a kérdésekre adott válaszok alapja a szervezet koncepcionális biztonsági politikája (Swanson, M., 2001).
A következő részben az interneten való biztonságos munkavégzés hipotetikus biztonsági politikájának töredékei találhatók. Ezek a töredékek a biztonsági berendezések főbb típusainak elemzése alapján készültek.
A biztonsági politikákat két kategóriára oszthatjuk: a hardverek és szoftverek segítségével megvalósított technikai politikára és az adminisztratív politikára, amelyet a rendszert használó és a rendszert működtető emberek végeznek (Swanson, M., 2001).
Koncepcionális biztonsági politika egy szervezet számára:
-
Minden információs rendszernek rendelkeznie kell biztonsági politikával
-
A biztonsági politikát a szervezet vezetőségének jóvá kell hagynia
-
A biztonsági politikának egyszerű és érthető formában kell elérnie minden alkalmazottat
-
A biztonsági politikának tartalmaznia kell:
-
az információbiztonság meghatározását, fő célkitűzéseit és alkalmazási körét, valamint fontosságát mint mechanizmust, amely lehetővé teszi az információk kollektív felhasználását
-
az információbiztonság céljaival és elveivel kapcsolatos vezetői állásfoglalás
-
az információbiztonság biztosításával kapcsolatos általános és konkrét felelősségek meghatározása
-
hivatkozások a biztonsági politikához kapcsolódó dokumentumokra, például a felhasználókra vonatkozó részletes biztonsági irányelvekre vagy szabályokra
-
A biztonsági politikának meg kell felelnie bizonyos követelményeknek:
-
megfelel a nemzeti és nemzetközi jogszabályoknak
-
tartalmaznia kell a személyzet biztonsági kérdésekkel kapcsolatos képzésére vonatkozó rendelkezéseket
-
tartalmaznia kell a rosszindulatú szoftverek észlelésére és megelőzésére vonatkozó utasításokat
-
meg kell határoznia a biztonsági előírások megsértésének következményeit. politika megsértésének következményeit
-
figyelembe kell venni az üzletmenet-folytonossági követelményeket
-
Meg kell határozni egy személyt, aki felelős a biztonsági politika rendelkezéseinek felülvizsgálatára és frissítésére vonatkozó eljárásért
-
A biztonsági politika felülvizsgálatát az alábbi esetekben kell elvégezni:
-
a szervezet szervezeti infrastruktúrájában bekövetkezett változások
-
a szervezet műszaki infrastruktúrájában bekövetkezett változások
-
A biztonsági politika rendszeres felülvizsgálatának tárgya a következő jellemzők:
-
az ellenintézkedések költsége és hatása a szervezet teljesítményére(ISO/IEC 17799:2005)
Beszámoló
A törvényszéki jelentés kiemeli a bizonyítékokat a bíróságon, valamint segít további bizonyítékok gyűjtésében és felhasználható a bírósági tárgyalásokon. A jelentésnek tartalmaznia kell a nyomozás terjedelmét. A számítógépes igazságügyi szakértőnek tisztában kell lennie a számítógépes igazságügyi jelentés típusával, mint például a hivatalos jelentés, az írásbeli jelentés, a szóbeli jelentés és a vizsgálati terv. A hivatalos jelentés a vizsgálati eredményekből származó tényeket tartalmazza. Az írásbeli jelentés olyan, mint egy nyilatkozat vagy eskü alatt tett nyilatkozat, amelyet eskü alatt lehet megesküdni, így világosnak, pontosnak és részletesnek kell lennie. A szóbeli jelentés kevésbé strukturált, és egy előzetes jelentés, amely a még nem vizsgált területekkel foglalkozik. A vizsgálati terv egy strukturált dokumentum, amely segít a nyomozónak abban, hogy megértse a bizonyítékok igazolása során várható kérdéseket. A vizsgálati terv segít az ügyvédnek abban is, hogy megértse a számítógépes törvényszéki vizsgálat során használt kifejezéseket és funkciókat (Nelson, B., et al., 2008). Általában egy számítógépes igazságügyi szakértői jelentés a következő funkciókat tartalmazza:
-
A jelentés célja
-
A jelentés szerzője
-
Az incidens összefoglalása
-
bizonyítékok
-
elemzés
-
Következtetések
-
Támogató dokumentumok
.
A törvényszéki vizsgálati jelentés elkészítéséhez számos törvényszéki eszköz létezik, mint például a ProDiscover, FTK és az EnCase (Nelson, B., et al., 2008).
Következtetések
Ez a jelentés tartalmazza, hogyan kell elvégezni a számítógépes törvényszéki vizsgálatot és a rosszindulatú szoftverek vizsgálatát különböző módszerekkel és különböző eszközökkel. Ez a jelentés tartalmazza továbbá az ACPO négy fő és az IS017799 biztonsági politika eljárásait, amelyeket minden szervezetben végre kell hajtani a biztonsági hálózati architektúra javítása érdekében. Elemzi továbbá az első négylépéses törvényszéki vizsgálati modellt, és azt, hogy miért ezt a modellt választottuk az eset törvényszéki vizsgálatának elvégzéséhez. Fontos előkészítő lépéseket is tartalmaz a vizsgálat megkezdése előtt. Ezután ez a jelentés rendelkezik egy elemző résszel, ahol elemeztük a különböző módszerekkel gyűjtött adatokat, hogy a megállapításokat megkapjuk. Ez a jelentés ajánlásokat is tartalmaz a biztonság megsértésének jövőbeli elkerülése érdekében.
A digitális törvényszéki vizsgálat kihívást jelentő folyamat, mivel minden incidens különbözik a többi incidenstől. A számítógépes törvényszéki nyomozónak eléggé kompetensnek kell lennie műszaki és jogi téren a vizsgálat lefolytatásához. Mivel a számítógépes törvényszéki nyomozó által szolgáltatott bizonyítékok fontos részét képezhetik az ügynek, a vizsgálati jelentésnek pontosnak és részletesnek kell lennie.
-
7safe, (2013) “Good Practice Guide for Computer-Based Electronic Evidence”, Available at: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Hozzáférés: 2014. január 12..
-
ACPO (2013), “Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Elérhető: http://www.australiansecuritymagazine.com.au/, Hozzáférés: 2013. december 31..
-
Aquilina, M.J., (2003), “Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), “Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, “Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), “SQL – karrier az adatbázis-helyszínelők körében!”, Elérhető: http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, elérés: 2014. január 2..
-
Fowler, K., (2007), “Forensic Analysis of a SQL Server 2005 Database Server”, Elérhető: https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, elérés: 2014. január 2..
-
Han, D.R., (2012), “SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, elérhető: www.isaca.org/journal, elérés: 2014. január 05.
-
Hunt, R., (2012), “New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), “Information technology – Security techniques – Code of practice for information security management”, Elérhető: http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Hozzáférés: 2014. január 10-én.
-
ISO1799, (2005), “ISO 17799 Information and Resource Portal”, Available at http://17799.denialinfo.com/ , Accessed on 10th January 2014.
-
Kendall, K,(2007), “Practical Malware Analysis”, Mandiant Intelligent Information Security, Available at http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accessed on 10th January 2014.
-
Kent, K, and Grance, T., (2006), “Guide to Integrating Forensic Techniques into Incident Response”, Elérhető a következő címen: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Hozzáférés: 2014. január 13.
-
Kent, K., et.al., (2006). “Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., és Adane, D.S., (2011), “Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., és Heiser, J.G. (2010), “Computer Forensics: Incident Response Essentials”, 14. kiadás, Indianapolis: Pearson Education
-
Microsoft, (2013), “Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et. al., (2008), “Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), “Forensics of a Windows System”, Roche.
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Available at: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Hozzáférés: 2014. január 13.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), “NIST Security Self-Assessment Guide for Information Technology Systems” Elérhető: http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Hozzáférés: 2014. január 9..
-
US-CERT, (2012), “Computer Forensics”, Elérhető: http://www.us-cert.gov/reading-room/forensics.pdf, Hozzáférés: 2013. december 30..
-
Venter, J. P., (2006), “Process Flows for Cyber Forensics Training and Operations”, Elérhető: http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, Hozzáférés: 2013. december 30.
-
Wong, L.W.,(2006) “Forensic Analysis of the Windows Registry” Elérhető: http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Hozzáférés: 2014. január 10.
.