Zrzeczenie się odpowiedzialności: Nie prowadziliśmy żadnego śledztwa na żywo. To była część naszego zadania uniwersyteckiego, w którym wcieliliśmy się w rolę śledczych, określając, jakie metody można zastosować. Zachęcamy do przedstawienia własnych ustaleń i rozwiązania sprawy. Staraliśmy się postępować zgodnie z globalną metodologią, ilustrując, jak powinien wyglądać podstawowy raport z dochodzenia kryminalistycznego.

Credits

Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar -. [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]

Wprowadzenie

Technologia komputerowa jest główną integralną częścią codziennego życia człowieka, i szybko się rozwija, podobnie jak przestępstwa komputerowe, takie jak oszustwa finansowe, nieuprawnione włamania, kradzież tożsamości i kradzież intelektualna. Aby przeciwdziałać tym przestępstwom komputerowym, Computer Forensics odgrywa bardzo ważną rolę. „Computer Forensics obejmuje uzyskanie i analizę informacji cyfrowych do wykorzystania jako dowód w sprawach cywilnych, karnych lub administracyjnych (Nelson, B., et al., 2008)”.

A Computer Forensic Investigation ogólnie bada dane, które mogą być podjęte z twardych dysków komputerowych lub innych urządzeń pamięci masowej z przestrzeganiem standardowych zasad i procedur w celu określenia, czy te urządzenia zostały naruszone przez nieuprawnionego dostępu lub nie. Informatycy śledczy pracują w zespole, aby zbadać incydent i przeprowadzić analizę kryminalistyczną przy użyciu różnych metodologii (np. statycznych i dynamicznych) oraz narzędzi (np. ProDiscover lub Encase), aby zapewnić, że system sieci komputerowej jest bezpieczny w organizacji. Skuteczny informatyk śledczy musi znać różne prawa i regulacje związane z przestępstwami komputerowymi w swoim kraju (np. Computer Misuse Act 1990, Wielka Brytania) oraz różne systemy operacyjne komputerów (np. Windows, Linux) i sieciowe systemy operacyjne (np. Win NT). Według Nelson, B., et al., (2008), dochodzenia publiczne i dochodzenia prywatne lub korporacyjne to dwie odrębne kategorie, które wchodzą w zakres badań informatyki śledczej. Dochodzenia publiczne będą prowadzone przez agencje rządowe, natomiast dochodzenia prywatne będą prowadzone przez prywatne zespoły informatyki śledczej. Niniejszy raport będzie koncentrował się na dochodzeniach prywatnych, ponieważ incydent miał miejsce w nowo powstałym MŚP z siedzibą w Luton.

Raport ten zawiera również model dochodzenia komputerowego, kolekcje danych i ich rodzaje, pozyskiwanie dowodów, narzędzia kryminalistyczne, złośliwe dochodzenia, prawne aspekty informatyki śledczej, i wreszcie raport ten zawiera również niezbędne zalecenia, środki zaradcze i polityki w celu zapewnienia, że to MŚP zostanie umieszczone w bezpiecznym środowisku sieciowym.

Studium przypadku

Nowy start-up SME (small-medium enterprise) z siedzibą w Luton z modelem E-administracji zaczął ostatnio zauważać anomalie w swojej księgowości i zapisach produktów. Przeprowadzono wstępną kontrolę plików dziennika systemowego i stwierdzono szereg podejrzanych wpisów i adresów IP z dużą ilością danych wysyłanych poza firewall firmy. Firma otrzymała również ostatnio kilka skarg klientów, którzy twierdzą, że podczas przetwarzania zamówienia często wyświetlany jest dziwny komunikat i często są oni przekierowywani na stronę płatności, która nie wygląda na legalną.

Firma korzysta z ogólnego pakietu eBusiness (OSCommerce) i posiada mały zespół sześciu specjalistów wsparcia IT, ale nie uważa, że posiada wiedzę specjalistyczną do przeprowadzenia pełnego dochodzenia w sprawie złośliwego oprogramowania/śledzenia kryminalistycznego.

Jako, że istnieje zwiększona konkurencja w dziedzinie hi-tech, firma chce się upewnić, że jej systemy nie są zagrożone i zatrudniła śledczego ds. informatyki śledczej, aby ustalić, czy miała miejsce jakakolwiek złośliwa działalność i aby upewnić się, że w jej systemach nie ma złośliwego oprogramowania.

Twoim zadaniem jest zbadanie podejrzeń zespołu i zasugerowanie mu, w jaki sposób może być w stanie zdezynfekować wszystkie maszyny dotknięte złośliwym oprogramowaniem oraz upewnić się, że żadne inne maszyny w jego siedzibie lub w całej sieci nie zostały zainfekowane. Zespół chce również, abyś przeprowadził dochodzenie z zakresu cyfrowej kryminalistyki, aby sprawdzić, czy możesz prześledzić przyczynę problemów, a jeśli to konieczne, przygotować sprawę przeciwko sprawcom.

Firma używa Windows Server NT dla swoich serwerów. Zespół wsparcia informatycznego stosuje co miesiąc poprawki, ale zauważył, że pewna liczba maszyn nie została poprawiona.

Zadania

Twoim zadaniem w tym zadaniu jest raport o długości 5,000 słów omawiający jak podszedłbyś do następujących zadań:

– Śledztwo w sprawie złośliwego oprogramowania

– Cyfrowe śledztwo kryminalistyczne

Powinieneś omówić ogólny przegląd metodologii, którą zastosujesz, oraz przedstawić uzasadniony argument, dlaczego wybrana metodologia jest odpowiednia.

Powinieneś także omówić proces, który wykorzystasz do zbierania dowodów i omówić odpowiednie wytyczne, które muszą być przestrzegane podczas zbierania dowodów cyfrowych.

W ramach dyskusji zawartej w raporcie, powinieneś również przedstawić krytyczną ocenę istniejących narzędzi i technik, które są wykorzystywane w cyfrowej kryminalistyce lub śledztwach dotyczących złośliwego oprogramowania i ocenić ich skuteczność, omawiając takie kwestie jak spójność przyjętych podejść, umiejętności potrzebne śledczym oraz problemy związane z istniejącymi metodologiami (szczególnie w odniesieniu do braku jednego wspólnego globalnego podejścia do przeprowadzania takich śledztw i problemów, które mogą wynikać, gdy istnieje potrzeba przeprowadzenia śledztwa przekraczającego granice międzynarodowe).

Stowarzyszenie Głównych Oficerów Policji (ACPO)

To dochodzenie kryminalistyczne będzie prowadzone zgodnie z wytycznymi Stowarzyszenia Głównych Oficerów Policji (ACPO) oraz jego czterema zasadami. Istnieją cztery zasady ACPO związane z dowodami elektronicznymi opartymi na komputerach. Zasady te muszą być przestrzegane, gdy osoba przeprowadza dochodzenie kryminalistyczne z wykorzystaniem komputera. Podsumowanie tych zasad jest następujące (ACPO, 2013);

Zasada 1: Dane przechowywane w komputerze lub nośniku pamięci nie mogą być zmieniane lub modyfikowane, ponieważ dane te mogą być później przedstawione w sądzie.

Zasada 2: Osoba musi być wystarczająco kompetentna w posługiwaniu się oryginalnymi danymi przechowywanymi na komputerze lub nośniku pamięci, jeśli jest to konieczne, a także powinna być w stanie złożyć zeznania wyjaśniające znaczenie i przebieg swoich działań.

Zasada 3: Ścieżka audytu lub inna dokumentacja wszystkich procesów zastosowanych do dowodów elektronicznych opartych na komputerze powinna być utworzona i zachowana. Niezależna strona trzecia powinna być w stanie zbadać te procesy i osiągnąć ten sam rezultat.

Zasada 4: Osoba, która jest odpowiedzialna za dochodzenie musi ponosić ogólną odpowiedzialność za rozliczanie, że prawo i zasady ACPO są przestrzegane.

Model śledztwa komputerowego

Według Kruse II, W.G., i Heiser, J.G. (2010), dochodzenie komputerowe ma na celu zidentyfikowanie dowodów, zachowanie tych dowodów, wyodrębnienie ich, udokumentowanie każdego procesu, zatwierdzenie tych dowodów i przeanalizowanie ich w celu znalezienia przyczyny źródłowej, a następnie przedstawienie zaleceń lub rozwiązań.

„Informatyka śledcza jest nową dziedziną i istnieje mniej standaryzacji i spójności w sądach i przemyśle” (US-CERT, 2012). Każdy model informatyki śledczej koncentruje się na konkretnym obszarze, takim jak egzekwowanie prawa lub odkrywanie dowodów elektronicznych. Nie istnieje jeden model cyfrowego śledztwa kryminalistycznego, który zostałby powszechnie zaakceptowany. Jednak ogólnie przyjęto, że ramy modelu cyfrowego kryminalistyki muszą być elastyczne, tak aby mogły obsługiwać każdy rodzaj incydentów i nowych technologii (Adam, R., 2012).

Kent, K., et.al, (2006) opracował podstawowy model cyfrowego śledztwa kryminalistycznego o nazwie Four Step Forensics Process (FSFP) z ideą Ventera (2006), że cyfrowe śledztwo kryminalistyczne może być prowadzone nawet przez osoby nietechniczne. Model ten daje większą elastyczność niż jakikolwiek inny model, dzięki czemu organizacja może przyjąć najbardziej odpowiedni model w oparciu o zaistniałe sytuacje. Są to powody, dla których wybraliśmy ten model dla niniejszego dochodzenia. FSFP zawiera następujące cztery podstawowe procesy, jak pokazano na rysunku:

Figura 1: FSFP Forensic Investigation Model

Źródło: Kent, K., et.al, (2006)

Znak strzałki „Zachowaj i dokumentuj dowody” wskazuje, że musimy zachować i udokumentować wszystkie dowody w trakcie dochodzenia, ponieważ w niektórych przypadkach mogą one zostać przedłożone w sądzie jako dowody. Omówimy każdy proces lub etap modelu dochodzenia FSFP w kolejnych sekcjach.

Zakres dochodzenia

Zakresy dochodzeń kryminalistycznych w tej sprawie są następujące:

  • Zidentyfikowanie złośliwych działań w odniesieniu do 5Ws (Dlaczego, Kiedy, Gdzie, Co, Kto).
  • Zidentyfikować lukę bezpieczeństwa w ich sieci.
  • Znaleźć wpływ, jeśli system sieciowy został naruszony.
  • Zidentyfikować procedury prawne, jeśli są potrzebne.
  • Zapewnić działania zaradcze w celu utwardzenia systemu.

Prawne wyzwania śledztwa

Według Nelson, B., et al., (2008), wyzwania prawne przed rozpoczęciem naszego badania kryminalistycznego są następujące:

  • Określenie, czy potrzebna jest pomoc organów ścigania, a jeśli tak, to czy mogą one być dostępne do pomocy podczas badania, czy też musimy przekazać im raport z badania na koniec badania.
  • Uzyskanie pisemnej zgody na przeprowadzenie badania kryminalistycznego, chyba że istnieje inna procedura autoryzacji reakcji na incydent.
  • Dyskusja z doradcami prawnymi w celu zidentyfikowania potencjalnych problemów, które mogą być podniesione podczas niewłaściwej obsługi dochodzenia.
  • Zapewnienie, że kwestie poufności i prywatności klientów są rozliczane.

Przygotowanie wstępne

Jest oczywiste, że przed rozpoczęciem dochodzenia, musimy mieć przygotowanie w celu skutecznego przeprowadzenia dochodzenia. Jest to uważane za proaktywny środek śledztwa (Murray, 2012). Na etapie przygotowania należy podjąć następujące kroki:

  • Zgromadzenie wszystkich dostępnych informacji z oceny incydentu, takich jak powaga incydentu.
  • Zidentyfikowanie wpływu śledztwa na działalność MŚP, takich jak czas przestoju sieci, czas trwania usuwania skutków incydentu, utrata przychodów, utrata informacji poufnych.
  • Uzyskanie informacji o sieciach, urządzeniach sieciowych takich jak router, przełączniki, hub, itp, dokumentacja topologii sieci, komputery, serwery, firewall i schemat sieci.
  • Identyfikacja zewnętrznych urządzeń pamięci masowej, takich jak pen drive, flash drive, zewnętrzny dysk twardy, CD, DVD, karty pamięci i zdalny komputer.
  • Identyfikacja narzędzi kryminalistycznych, które mogą być użyte w tym dochodzeniu.
  • Przechwytywanie ruchu sieciowego na żywo w przypadku, gdy podejrzane działania są nadal wykonywane za pomocą narzędzi „netmon”.
  • Dokumentowanie wszystkich czynności podczas dochodzenia, które może być wykorzystane w sądzie w celu zweryfikowania przebiegu działań podjętych podczas dochodzenia.
  • Obrazy dysku twardego urządzeń docelowych i haszowanie ich za pomocą MD5 w celu zapewnienia integralności danych.

Zbieranie

„Faza zbierania jest pierwszą fazą tego procesu jest identyfikacja, oznaczanie, rejestrowanie i pozyskiwanie danych z możliwych źródeł istotnych danych, przy jednoczesnym przestrzeganiu wytycznych i procedur, które zachowują integralność danych” (CJCSM 6510.01B, 2012). Istnieją dwa różne rodzaje danych, które mogą być gromadzone w ramach informatyki śledczej. Są to dane lotne i dane nielotne (dane trwałe). Dane lotne to dane, które istnieją, gdy system jest włączony i są usuwane po wyłączeniu zasilania, np. pamięć o dostępie swobodnym (RAM), rejestr i pamięć podręczna. Dane nieulotne to dane, które istnieją w systemie, gdy zasilanie jest włączone lub wyłączone, np. dokumenty w pamięci HD. Ponieważ dane nieulotne są krótkotrwałe, informatyk śledczy musi znać najlepszy sposób na ich przechwycenie. Dowody mogą być zbierane lokalnie lub zdalnie.

Lotne dane

Następujący rysunek pokazuje, jak przechwycić lotne dane. Stacja robocza musi znajdować się w tej samej sieci LAN, w której znajduje się maszyna docelowa, w tym przypadku serwer Windows NT. Narzędzia 'Cryptcat’ mogą być użyte w stacji roboczej do nasłuchiwania na porcie serwera Windows NT. Utwórz napęd optyczny z zaufanym zestawem narzędzi w serwerze Windows NT i otwórz zaufaną konsolę cmd.exe i użyj następującego polecenia:

cryptcat <ip address> 6543 -k key

Aby przechwycić dane na stacji roboczej forensic, używamy następującego polecenia:

cryptcat -l -p 6543 -k key >> <nazwa pliku>

Rysunek 2: Konfiguracja zbierania lotnych danych

Źródło: Reino, A., (2012)

Następująca tabela przedstawia narzędzia Graficznego Interfejsu Użytkownika, oraz ich wykorzystanie i wynik mogą być użyte w dochodzeniu sądowym z wykorzystaniem komputera.

Tabela 1: Narzędzia Forensic lotnych danych oraz ich wykorzystanie i wynik

Źródło: Reino, A., (2012)

Używamy również różnych narzędzi opartych na systemie Windows do przechwytywania danych lotnych w następujący sposób:

HBGray’s FastDump – Lokalne pozyskiwanie pamięci fizycznej.

HBGray’s F-Response – Zdalne pozyskiwanie pamięci fizycznej

ipconfig – Zbieranie szczegółów systemu podmiotu.

netusers i qusers – Identyfikacja zalogowanych użytkowników

doskey/history – Zbieranie historii poleceń

netfile – Identyfikacja usług i sterowników

Na koniec, zbieranie zawartości schowka jest również bardzo ważne w informatyce śledczej. Więcej dowodów można znaleźć z maszyny, która nadal działa, więc jeśli anomalie są nadal w MSP, to możemy odzyskać wiele ważnych dowodów z uruchomionych procesów, połączenia sieciowego i danych, które są przechowywane w pamięci. Istnieje wiele dowodów, gdy maszyna jest w stanie lotnym, a więc musi być zapewnione, że dotknięte komputery nie są wyłączone w celu zebrania takich dowodów.

Dane nielotne

Gdy dane lotne zostały przechwycone, następnie przyjrzymy się danym nielotnym. Pierwszym krokiem w zbieraniu danych nieulotnych jest skopiowanie zawartości całego systemu docelowego. Jest to również nazywane „obrazowaniem kryminalistycznym”. Obrazowanie pomaga zachować oryginalne dane jako dowód bez żadnych zakłóceń lub zmian w danych, które występują podczas dochodzenia sądowego. Obrazowanie kryminalistyczne jest tworzone przez narzędzia kryminalistyczne takie jak EnCase, ProDiscover i FTK. Technik kryminalistyczny używa blokady zapisu, aby połączyć się z systemem docelowym i skopiować całą zawartość dysku docelowego na inne urządzenie pamięci masowej za pomocą dowolnego z tych narzędzi kryminalistycznych. Klonowanie dysku twardego to nic innego jak tworzenie duplikatu całego systemu. Różnica między obrazowaniem kryminalistycznym a klonowaniem dysku twardego polega na tym, że do obrazowania kryminalistycznego nie można uzyskać dostępu bez narzędzi kryminalistycznych, natomiast do klonowania dysku twardego można łatwo uzyskać dostęp za pomocą dysku montażowego. Klonowanie dysku twardego zawiera tylko surowy obraz, a każdy bit zostanie skopiowany i nie zostanie dodana żadna inna dodatkowa zawartość. Obrazowanie sądowe zawiera metadane, tj. hashe i znaczniki czasu, a także kompresuje wszystkie puste bloki. Forensic obrazowanie będzie hash z MD5 lub SHA-2, aby zapewnić integralność dowodów cyfrowych (Nelson, B., et al., 2008).

Zbieranie danych może być wykonane w offline dochodzenia i online dochodzenia. Obrazowanie kryminalistyczne może być wykonane w śledztwie offline. Ruch sieciowy na żywo może być wykonany w śledztwie online przy użyciu narzędzi ethereal lub Wireshark. Logi zapory sieciowej, logi antywirusowe oraz logi kontrolerów domeny będą zbierane w ramach badania nieulotnych danych. Zbierzemy również logi serwera WWW, logi zdarzeń systemu Windows, logi baz danych, logi IDS oraz logi aplikacji. Po zebraniu wszystkich cyfrowych dowodów, muszą one zostać udokumentowane w dokumentacji chain of the custody log. Dokumentacja chain of the custody log ma na celu utrzymanie integralności dowodów od początku do końca dochodzenia, aż do momentu przedstawienia raportu z dochodzenia (Nelson, B., et al., 2008).

Przed przeprowadzeniem jakichkolwiek dalszych procesów, musimy obrazować dysk bit po bicie, co pozwoli uzyskać dostęp do całego woluminu i skopiować oryginalne nośniki, w tym usunięte pliki. Po zobrazowaniu dysku należy wszystko zaszyfrować, co da nam pewność, że dane są autentyczne, a ich integralność zostanie zachowana podczas całego śledztwa. Wartości hash muszą być zapisane w wielu miejscach i musimy się upewnić, że nie dokonamy żadnych zmian w danych od momentu ich zebrania do końca śledztwa. Większość narzędzi pomaga w osiągnięciu tego celu poprzez dostęp do nośnika w stanie tylko do odczytu (SANS, 2010). Dyski twarde systemu docelowego, zewnętrzne urządzenia pamięci masowej i dysk twardy serwera Windows NT muszą być pozyskane do cyfrowego dochodzenia sądowego w tym przypadku.

Badanie

Po zebraniu wszystkich dostępnych dowodów, musimy przeprowadzić badanie za pomocą różnych narzędzi informatyki śledczej. Badamy również system plików, rejestr systemu Windows, sieć i bazy danych badanie kryminalistyczne, jak następuje:

Badanie systemu plików

NTFS to System Plików Nowej Technologii i NTFS Disk to plik. MFT to Główna Tabela Plików (Master File Table), która zawiera informacje o wszystkich plikach i dyskach, jest to również pierwszy plik w NTFS. Rekordy w MFT są również nazywane metadanymi. Metadane to dane o danych (Nelson, B., et. al., 2008). Pliki mogą być przechowywane w MFT na dwa sposoby: rezydentne i nierezydentne. Plik o rozmiarze mniejszym niż 512 bajtów może być przechowywany w MFT jako plik rezydentny, a plik o rozmiarze większym niż 512 bajtów może być przechowywany poza MFT jako plik nierezydentny. Kiedy plik jest usuwany w Windows NT, system operacyjny zmienia jego nazwę i przenosi go do Kosza z unikalną tożsamością. System operacyjny przechowuje informacje o oryginalnej ścieżce i oryginalnej nazwie pliku w pliku info2. Jeśli jednak plik zostanie usunięty z Kosza, wówczas powiązane z nim klastry są oznaczone jako dostępne dla nowych danych. NTFS jest bardziej wydajny niż FAT, ponieważ jest szybszy w odzyskiwaniu usuniętej przestrzeni. Dyski NTFS są strumieniem danych, co oznacza, że mogą być dołączone do innego istniejącego pliku. Plik strumienia danych można zapisać w następujący sposób:

C:echo text_mess > plik1.txt:plik2.txt

Plik ten można odzyskać za pomocą następującego polecenia:

C:more < plik1.txt:file2.txt

W2K.Stream i Win2K.Team są wirusami, które zostały stworzone przy użyciu strumienia danych i zostały stworzone z zamiarem zmiany oryginalnego strumienia danych. Jako badacz, musimy być świadomi systemów plików Windows FAT i NTFS dogłębnie (Nelson, B., et. al., 2008).

Badanie rejestru Windows

Według (Carvey, H., 2005) rejestr może być traktowany jako plik dziennika, ponieważ zawiera dane, które mogą być odzyskane przez śledczego sądowego wartości klucza stowarzyszonego są nazywane „Lastwrite” czas, który jest przechowywany jako FILETIME i uważany za czas ostatniej modyfikacji pliku. W przypadku plików często trudno jest uzyskać dokładną datę i czas modyfikacji pliku, ale Lastwrite pokazuje, kiedy rejestr był ostatnio modyfikowany. Fantastycznie będzie przejrzeć niektóre pewne kroki (Carvey, H., 2005), które są wymienione poniżej do analizy rejestru windows organizacji, aby zapewnić, że problem wewnątrz i na zewnątrz organizacji są znane i są rozwiązywane w celu ochrony i utrzymania reputacji firmy.

Rejestr windows to kolejność baz danych w komputerze używane przez Microsoft w Windows 98, Windows CE, Windows NT i Windows 2000 do przechowywania użytkownika lub aplikacji użytkownika i konfiguracji urządzeń sprzętowych, który jest używany jako punkt odniesienia podczas wykonywania programu lub procesów (Windows, 2013). Wspólna struktura rejestru windows jest podzielona na „Ule”, które są:

  • HKEY_CLASSES_ROOT: zapewnia, że wymagane programy są wykonywane.
  • HKEY_CURRENT_USER: zawiera ogólne informacje użytkownika, który jest aktualnie zalogowany do systemu.
  • HKEY_LOCAL_MACHINE: zawiera informacje o sprzęcie, napędach itp. systemu.
  • HKEY_USERS: zawiera wszystkie informacje o użytkownikach w danym systemie.
  • HKEY_CURRENT_CONFIG: przechowuje informacje o bieżącej konfiguracji systemu.

Rejestr systemu Windows składa się z informacji lotnych i nielotnych. Oznacza to, że śledczy musi przynajmniej znać znaczenie i funkcjonalność ulów, kluczy, danych i wartości rejestru Windows przed przystąpieniem do badania kryminalistycznego komputera, aby uzyskać udany raport z badania kryminalistycznego.

Autostart Location: to lokalizacja w rejestrze, w której aplikacje są ustawione tak, aby były uruchamiane bez inicjacji użytkownika. Dzięki tej funkcjonalności złośliwe oprogramowanie, które ma wpływ na Luton SME, może uporczywie uruchamiać się po włączeniu maszyny bez bezpośredniej interakcji z użytkownikiem, ponieważ zostało już zaprogramowane do autostartu lub gdy użytkownik uruchamia pewne określone polecenia lub procesy.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option jest rejestrem Windows, w którym atakujący może użyć klucza do przekierowania oryginalnej kopii aplikacji do jej trojańskiej kopii (Carvey, H., 2005). Luton SME może być narażone na taki atak: przekierowanie strony płatności klienta na nielegalną stronę.

Śledczy może zbadać lokalizację autostartu, aby określić, czy problem Luton SME wynika z działania wykonanego przez użytkownika, złośliwe oprogramowanie lub przez atakującego organizację. Według (Carvey, H., 2005) niezawodnym sposobem dostępu do autolokalizacji jest użycie narzędzi AutoRuns z SysInternals.com, które mogą dostarczyć listę lokalizacji autostartu.

Aktywność użytkownika: działania i aktywności użytkownika mogą być badane w roju HKEY_CUREENT_USER, który jest tworzony z roju HKEY_USERSID. Informacje o użytkowniku są odwzorowane w HKEY_CURRENT_USER. W pliku NTUSER.DAT przechowywane są informacje o ustawieniach specyfikacji rejestru dla danego użytkownika. Zbadanie tego roju da śledczym dobre wskazówki na temat aktywności i działań podejmowanych przez użytkownika.

Lista Ostatnio Używanych (MRU): MRU przechowuje ostatnie konkretne działania podjęte przez użytkownika i śledzi aktywność w celu przyszłego odniesienia. Na przykład HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU przechowuje listę wykonanych poleceń uruchomionych przez użytkownika. Każde wykonane polecenie w oknie uruchamiania spowoduje dodanie wpisu wartości klucza do roju, jak pokazano poniżej:

Rysunek 3: Zawartość klucza ExplorerRunMRU.

Źródło: Carvey, H., (2005)

Śledczy kryminalistyczny może zbadać ten ul, aby uzyskać źródło czasu ostatniego zapisu każdego polecenia z listy MRU, jak pokazano powyżej. Dzięki temu śledczy z SME Luton będzie w stanie przeanalizować na podstawie rejestru, czy była to aktywność użytkownika, działanie złośliwego oprogramowania czy atak, który ma wpływ na organizację.

UserAssist: zgodnie z (Carvey, H., 2005) UserAssist, który znajduje się w roju HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist składa się z dwóch kluczy, które powszechnie wyglądają jak globalnie unikalne identyfikatory, które przechowują zaszyfrowane zapisy każdego obiektu, aplikacji, itp. do którego użytkownik uzyskał dostęp w systemie. Jeśli śledczy uzyskał dostęp do zaszyfrowanego rekordu, który nie jest już ostateczny, może to wskazywać na jakieś działanie, które użytkownik wykonał w celu uruchomienia złośliwego oprogramowania poprzez aplikację lub jakąkolwiek aktywność, którą mógł wykonać.

Pamięć wymienna USB: według Farmer, College and Vermont (2008) wszystkie urządzenia podłączone do systemu są przechowywane w rejestrze komputera pod następującym kluczem HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Poniższy rysunek przedstawia przykładowe ID napędu dla dysku USB:

Figure4: Przykładowa zawartość klucza USBSTOR, pokazująca identyfikatory instancji urządzenia.

Źródło: Carvey, H., (2005)

Używając uli zamontowanego dysku, śledczy będzie miał wskazówkę, gdy przeanalizuje zawartość identyfikatora urządzenia utrzymywanego w rejestrze, aby wiedzieć, które urządzenie było montowane w organizacji Luton SME. Dzięki wytrwałemu badaniu każdego klucza wartości, śledczy może zidentyfikować wymienne urządzenia pamięci masowej USB i zmapować je do parentidprefix.

Wireless SSIDs: Według (Carvey, H., 2005) SSID sieci bezprzewodowych używanych na komputerze można znaleźć w HKEY_LOCAL_MACHINESoftwareremicrosoftWZCSVCParametersInterface. Nawigując do wartości kluczy, zawierają one podklucze, które wyglądają jak globalnie unikalne identyfikatory, po otwarciu których badacz może przejść do ActiveSettings, które ujawnia każdy SSID sieci bezprzewodowej w formie binarnego typu danych. Po kliknięciu prawym przyciskiem myszy w celu modyfikacji, ujawnia on SSID w formie jawnego zapisu. Chociaż adres IP i inne informacje sieciowe można znaleźć w HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, śledczy może wykorzystać te informacje do powiązania użytkownika w organizacji Luton SME z konkretnym przedziałem czasowym, jeśli adres IP tej osoby zostanie wykryty w powyższym rejestrze Window.

Rejestr Windows może być również ważnym źródłem dowodu w dochodzeniu kryminalistycznym, jeśli śledczy wie, gdzie uzyskać dostępne dane, które mogą być dobrze przedstawione organizacji Luton SME. Fantastic próbował przeanalizować niektóre z podstawowych rejestrów Windows, które mogły spowodować przekierowanie jego strony internetowej, śledził aktywność użytkownika i wszystkie niezbędne programy, które użytkownik wykonał, urządzenia używane na serwerze lub którymkolwiek z komputerów organizacji, a także ujawnił adres IP użytkowników.

Badanie kryminalistyczne sieci

Pozyskiwanie, zbieranie i analizowanie zdarzeń, które mają miejsce w sieci jest określane jako kryminalistyka sieci. Czasami jest ona również znana jako analiza pakietów (packet forensics) lub eksploracja pakietów (packet mining). Podstawowy cel kryminalistyki sieciowej jest taki sam, czyli zbieranie informacji o pakietach w ruchu sieciowym, takich jak e-maile, zapytania, przeglądanie zawartości stron internetowych, itp. i przechowywanie tych informacji w jednym źródle i prowadzenie dalszej kontroli (WildPackets, 2010).

Kryminalistyka sieciowa może być stosowana na dwa główne sposoby. Pierwszy z nich jest związany z bezpieczeństwem, gdzie sieć jest monitorowana pod kątem podejrzanego ruchu i wszelkiego rodzaju włamań. Możliwe jest, że atakujący usunie wszystkie pliki logów z zainfekowanego hosta, więc w tej sytuacji dowody oparte na sieci wchodzą w grę w analizie kryminalistycznej. Drugie zastosowanie kryminalistyki sieciowej związane jest z egzekwowaniem prawa, gdzie ruch sieciowy, który został przechwycony może być wykorzystywany do zbierania plików, które zostały przesłane przez sieć, wyszukiwania słów kluczowych i analizy komunikacji międzyludzkiej, która została wykonana za pośrednictwem poczty elektronicznej lub innych podobnych sesji. (Hunt, 2012)

Narzędzia i techniki kryminalistyki sieciowej

Możemy wykonać każdą operację z forensically sound bootable DVD/CD-ROM, USB Flash drive lub nawet dyskietką. Najpierw musimy zrzucić pamięć, a to najlepiej zrobić za pomocą pamięci USB Flash o odpowiedniej wielkości. Musimy również przeprowadzić ocenę ryzyka, gdy zamierzamy zbierać dane zmienne, aby ocenić, czy jest to bezpieczne i istotne, aby zbierać takie dane na żywo, które mogą być bardzo przydatne w śledztwie. W całym procesie powinniśmy korzystać z zestawów narzędzi kryminalistycznych, ponieważ pomoże to spełnić wymagania śledztwa kryminalistycznego. Narzędzia te powinny być zaufane, a można je nabyć od tych swobodnie dystrybuowanych do tych komercyjnych. (7safe, 2013)

Niektóre bardzo ważne i dyskretne informacje powinny zostać zebrane z działającej maszyny, z pomocą zaufanych narzędzi, takich jak:

  • Wykazy procesów.
  • Wykazy usług.
  • Informacje o systemie.
  • Zalogowani i zarejestrowani użytkownicy.
  • Połączenia sieciowe.
  • Informacje o rejestrze.
  • Binarny zrzut pamięci.
(7safe, 2013)

Istnieje wiele różnych rodzajów narzędzi do analizy śledczej sieci, z których każde ma inne funkcje. Niektóre z nich to po prostu sniffery pakietów, a inne zajmują się identyfikacją, fingerprintingiem, lokalizacją, mapowaniem, komunikacją mailową, usługami webowymi, itp. Poniższa tabela zawiera listę niektórych narzędzi open-source, które mogą być wykorzystywane do analizy śledczej sieci i ich funkcjonalności. (Hunt, 2012)

Tool Platforma Web Site Attributes
TCPDumpWindump Unix & Windows www.tcpdump.org F
NetStumbler Windows www.netstumbler.com F
Wireshark Unix & Windows www.wireshark.org F
Sleuth Kit Unix www.sleuthkit.org F R C
Argus Unix www.qosient.com/argus F L
SNORT Windows /Unix www.snort.org F

F: Filter & collect; L: Log analysis; R: Reassembly of data stream; C: Correlation of data; A: Application Layer view

Table 2: Network Forensic Tools

Source: (Hunt, 2012)

Database Forensics Examination

Baza danych jest zbiorem danych lub informacji, które są reprezentowane w postaci plików lub zbioru plików. Pobieranie danych z bazy danych może być wykonane za pomocą zestawu zapytań. Kryminalistyka baz danych może być zdefiniowana jako zastosowanie technik informatyki śledczej i analitycznej do zbierania dowodów z bazy danych w celu przedstawienia ich w sądzie. Śledztwo kryminalistyczne musi być wykonane na bazach danych, ponieważ baza danych ma wrażliwe dane, gdzie istnieje duża szansa na naruszenie bezpieczeństwa przez intruzów, aby uzyskać te informacje osobiste.

W studium przypadku wspomniano, że duża ilość danych jest wysyłana z bazy danych, więc teraz zadaniem zespołu Fantastyki jest przeprowadzenie śledztwa kryminalistycznego na bazie danych z pomocą narzędzi kryminalistycznych. Kryminalistyka baz danych koncentruje się na identyfikacji, zachowaniu i analizie danych. Według Khanuja, H.K., i Adane, D.S., (2011), aby uzyskać dostęp do bazy danych użytkownicy muszą uzyskać uprawnienia takie jak autoryzacja i uwierzytelnienie z serwerów baz danych. Po dokonaniu autoryzacji, tylko użytkownik może uzyskać dostęp do danych i jeśli jest to zamierzone, może je zmieniać. Teraz, jeśli sprawdzimy logi audytu bazy danych, możemy uzyskać listę użytkowników, którzy otrzymali uprawnienia do dostępu do danych. Zespół musi sprawdzić w bazie danych adresy IP, które są zdalnie podłączone, ponieważ istnieją szanse na zmianę danych przez autoryzowanego lub nieautoryzowanego użytkownika.

Według Dave, P., (2013), z pomocą dochodzenia możemy prześledzić operacje DDL (Data Definition Language), które są używane do definiowania struktury bazy danych i DML (Data Manipulation Language), które są używane do zarządzania danymi w bazie danych i można zidentyfikować, czy są jakieś transakcje przed i po wydarzyło się w bazie danych. To dochodzenie może również pomóc nam wiedzieć, czy są jakieś wiersze danych, które są usuwane przez użytkownika celowo, i jest w stanie je odzyskać, a także pomaga nam udowodnić lub obalić, że naruszenie bezpieczeństwa danych nastąpiło w bazie danych, i pomaga nam w określeniu zakresu włamania do bazy danych. Windows forensic narzędzie v1.0.03 jest używany z niestandardowego pliku konfiguracyjnego, który będzie wykonywać DMV (Distributed Management Views) i DBCC (Database Consistency Checker) polecenia, aby zebrać dane, które są wystarczające do udowodnienia lub zaprzeczenia włamania, jak stwierdzono wcześniej (Fowler, K., 2007).

Analiza

Początkowo musimy przeanalizować dowody, które zebraliśmy i zbadaliśmy. Spojrzymy na dane, aby zobaczyć, czy jakiekolwiek ukryte pliki lub nietypowe pliki są prezentowane lub nie. Następnie czy jest uruchomiony jakiś nietypowy proces i czy są otwarte jakieś nietypowe gniazda. Sprawdzimy również czy jakieś żądania aplikacji nie wystąpiły nietypowo. Następnie sprawdzimy konta, czy jakieś nietypowe konto jest prezentowane czy nie. Znajdziemy również poziom łatania systemu, czy jest on zaktualizowany, czy nie. Na podstawie wyników tych analiz dowiemy się, czy w systemie nie występują złośliwe działania. Następnie opracujemy dalszą strategię dla śledztwa kryminalistycznego, taką jak pełna analiza pamięci, pełna analiza systemów plików, korelacja zdarzeń i analiza osi czasu (Nelson, B., et. al., 2008). Zgodnie z tym studium przypadku, w ich systemie sieciowym obecne są złośliwe działania i zostało to również potwierdzone przez naszą wstępną analizę. W celu znalezienia możliwości złośliwego kodu i jego celu, musimy przeprowadzić analizę pliku wykonywalnego złośliwego oprogramowania. Analiza wykonywalna złośliwego oprogramowania może być podzielona na analizę statyczną i analizę behawioralną.

Analiza złośliwego oprogramowania

Według raportu Verizon „2012 Data Breach Investigations Report”, 99% luk w zabezpieczeniach doprowadziło do naruszenia danych w ciągu kilku dni lub mniej, podczas gdy 85% zajęło kilka tygodni na zbadanie. Jest to poważne wyzwanie dla działów bezpieczeństwa, ponieważ napastnicy mają dużo czasu na pracę w zagrożonym środowisku. Więcej „wolnego czasu” prowadzi do większej ilości skradzionych danych i poważniejszych szkód. Wynika to głównie z faktu, że obecne środki bezpieczeństwa nie są przeznaczone do radzenia sobie z bardziej złożonymi zagrożeniami (2012 Data Breach Investigations Report, Verizon, 2012).

Punkt podczas przeprowadzania dochodzenia na miejscu przestępstwa związanego ze złośliwym oprogramowaniem: niektóre części komputera z systemem Windows są na dobrej drodze do przechowywania danych identyfikujących instalację i wykorzystanie złośliwego oprogramowania. Prawne badania przehandlowanych frameworków obejmowały audyt wartości hash rekordów, pomyłki sygnatur, spakowanych plików, dzienników kolizji, punktów przywracania systemu oraz pliku stron. Światowe badanie systemów plików i dzienników zdarzeń może być ukierunkowane na rozróżnienie ćwiczeń w czasie, gdy złośliwe oprogramowanie było animowane w systemie. Zaawansowani specjaliści mogą również sprawdzić Rejestr w poszukiwaniu nietypowych wejść, takich jak w obszarach autostartu, oraz zmian w czasie instalacji złośliwego oprogramowania. Polowanie na słowa kluczowe może być przeprowadzone w celu wykrycia odniesień do złośliwego oprogramowania i skojarzeń z innymi hostami. Normalne wektory ataku są rozpoznawane, włączając w to załączniki e-mail, historię przeglądania stron internetowych i nieautoryzowane logowania.

Według Syngress „Malware Forensics – Investigating and Analyzing Malicious Code, 2003” należy przeprowadzić dochodzenie w oparciu o następujące elementy:

  • Search for Known Malware
  • Review Installed Programs
  • Examine Prefetch
  • Inspect Executables
  • Review Auto-start
  • Przegląd zaplanowanych zadań
  • Przeglądaj dzienniki
  • Przeglądaj konta użytkowników
  • Przeglądaj system plików
  • Examine Registry
  • Restore Points
  • Keyword Searching

Przed rozpoczęciem analizy złośliwego oprogramowania, musimy stworzyć środowisko do analizy złośliwego oprogramowania, takie jak VMware i Norton Ghost. VMware jest wirtualnym środowiskiem do analizy złośliwego oprogramowania, a Norton Ghost jest dedykowanym środowiskiem do analizy złośliwego oprogramowania.

Analiza statyczna

Analiza statyczna jest rodzajem analizy złośliwego oprogramowania, która jest używana do przeprowadzania analizy bez uruchamiania programowania złośliwego oprogramowania. Analiza statyczna jest lepsza od analizy dynamicznej pod względem bezpieczeństwa analizy. Ponieważ program malware nie jest uruchomiony, nie ma obawy o usunięcie lub zmianę plików. Zawsze najlepiej jest przeprowadzać statyczną analizę złośliwego oprogramowania w innym systemie operacyjnym, w którym złośliwe oprogramowanie nie zostało zaprojektowane do uruchamiania lub oddziaływania. Ponieważ śledczy może przypadkowo dwukrotnie kliknąć złośliwy program do uruchomienia, a on będzie miał wpływ na system. Istnieje wiele sposobów na przeprowadzenie analizy statycznej, takich jak File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format i Disassembly (Kendall, K., 2007).

Analiza dynamiczna

Analiza dynamiczna jest rodzajem analizy złośliwego oprogramowania, w której kod złośliwego oprogramowania jest uruchamiany i obserwuje się jego zachowanie. Nazywana jest również Behaviour Malware Analysis. Analiza dynamiczna nie jest bezpieczna, chyba że jesteśmy gotowi poświęcić środowisko do analizy złośliwego oprogramowania. Możemy analizować złośliwe oprogramowanie po prostu monitorując zachowanie funkcji złośliwego oprogramowania. Istnieje wiele narzędzi do przeprowadzania dynamicznej analizy złośliwego oprogramowania, ale Process Monitor firmy SysInternals oraz Wireshark są najczęściej używanymi i darmowymi narzędziami (Kendall, K., 2007).

Według Kendall, K., (2007), w prawie wszystkich przypadkach malware, prosta statyczna i dynamiczna analiza malware znajdzie wszystkie odpowiedzi, które będą wymagane przez badaczy malware dla konkretnego kodu malware.

Wyniki

Po naszym dochodzeniu podsumowujemy nasze wyniki w następujący sposób:

  • Zidentyfikowaliśmy uporczywy zdalny dostęp atakującego do komputerów firmy.
  • Analiza kryminalistyczna zidentyfikowała, że systemy zostały skompromitowane.
  • Płatki systemu operacyjnego nie były zainstalowane w niektórych systemach.
  • W skompromitowanym systemie znaleziono podejrzane złośliwe oprogramowanie.
  • Identyfikacja tego złośliwego oprogramowania i jego funkcjonalność &Cel złośliwego oprogramowania doprowadził nas do wniosku, że jest to złośliwe oprogramowanie „spamujące”.
  • Stwierdzono, że atakujący uzyskali dostęp do systemów klienta za pomocą złośliwego oprogramowania poprzez podanie w odpowiednim linku strony do bramki płatności.

Działania naprawcze

Powyżej rozważono najczęstsze drogi przedostawania się złośliwego oprogramowania do sieci. Z powyższego można wysnuć dwa ważne wnioski:

  • Większość opisanych metod jest w jakiś sposób związana z czynnikiem ludzkim, dlatego szkolenie pracowników i okresowe szkolenia z zakresu bezpieczeństwa zwiększą bezpieczeństwo sieci;
  • Częste przypadki włamań na legalne strony prowadzą do tego, że nawet kompetentny użytkownik może zainfekować swój komputer. Dlatego na pierwszy plan wysuwają się klasyczne środki ochrony: oprogramowanie antywirusowe, terminowe instalowanie ostatnich aktualizacji oraz monitorowanie ruchu w Internecie.

Według Shiner, D.L.D., i Cross, M., (2002), istnieją główne środki zaradcze służące do ochrony przed złośliwym oprogramowaniem:

  • Uwierzytelnianie i ochrona hasłem
  • Oprogramowanie antywirusowe
  • Zapory sieciowe (sprzętowe lub (sprzęt lub oprogramowanie)
  • DMZ (strefa zdemilitaryzowana)
  • IDS (system wykrywania włamań)
  • Filtry pakietów
  • Systemy wykrywania włamań

  • Routery i przełączniki
  • Serwery proxy
  • VPN (wirtualne sieci prywatne)
  • Logowanie i audyt audyt
  • Czas kontroli dostępu
  • Zastrzeżone oprogramowanie/sprzęt nie jest dostępne w domenie publicznej
  • W naszym przypadku, najbardziej przydatne są następujące:

    • Firewall
    • Logging i Audyt

    Firewall sprawdza wszystkie strony WWW wchodzące na komputer użytkownika. Każda strona WWW jest przechwytywana i analizowana przez firewall pod kątem obecności złośliwego kodu. Jeśli strona WWW, do której użytkownik ma dostęp, zawiera złośliwy kod, dostęp do niej jest blokowany. Równocześnie wyświetlane jest powiadomienie, że żądana strona jest zainfekowana. Jeśli strona WWW nie zawiera złośliwego kodu, natychmiast staje się dostępna dla użytkownika.

    Przez logowanie rozumiemy zbieranie i przechowywanie informacji o zdarzeniach, które zachodzą w systemie informatycznym. Na przykład, kto i kiedy próbował zalogować się do systemu i jak ta próba się zakończyła, kto i z jakich zasobów informacyjnych korzystał, co i kto modyfikował w zasobach informacyjnych i wiele innych.

    Audyt to analiza zgromadzonych danych, przeprowadzana niezwłocznie, niemal w czasie rzeczywistym (Shiner, D.L.D., i Cross, M., 2002). Wdrożenie logowania i audytu ma następujące główne cele:

    • Odpowiedzialność użytkowników i administratorów;
    • Dostarczenie możliwości rekonstrukcji zdarzeń;
    • Wykrywanie prób naruszeń bezpieczeństwa informacji;
    • Dostarczenie informacji do identyfikacji i analizy problemów.

    Polityki bezpieczeństwa

    Najpełniejsze kryteria oceny mechanizmów bezpieczeństwa na poziomie organizacyjnym zostały przedstawione w międzynarodowej normie ISO 17799: Code of Practice for Information Security Management, przyjętej w 2000 roku. ISO 17799 jest międzynarodową wersją brytyjskiego standardu BS 7799. Norma ISO 17799 zawiera praktyczne zasady zarządzania bezpieczeństwem informacji i może być stosowana jako kryteria oceny mechanizmów bezpieczeństwa na poziomie organizacyjnym, w tym administracyjnych, proceduralnych i fizycznych środków bezpieczeństwa (ISO/IEC 17799:2005).

    Praktyczne zasady podzielone są na następujące sekcje:

    • polityka bezpieczeństwa;
    • organizacja bezpieczeństwa informacji;
    • zarządzanie majątkiem;
    • bezpieczeństwo zasobów ludzkich;
    • bezpieczeństwo fizyczne i środowiskowe;
    • zarządzanie telekomunikacją i operacjami;
    • kontrola dostępu;
    • pozyskiwanie, rozwój i utrzymanie systemów informacyjnych;
    • zarządzanie incydentami związanymi z bezpieczeństwem informacji;
    • zarządzanie ciągłością działania;
    • zgodność z przepisami.

    Te sekcje opisują mechanizmy bezpieczeństwa na poziomie organizacyjnym obecnie wdrażane w organizacjach rządowych i komercyjnych na całym świecie (ISO1799, 2005).

    Kilka pytań nasuwa się po rozważeniu powyższej potrzeby pewnego połączenia wymagań biznesowych dla Internetu. Jakie oprogramowanie i sprzęt oraz środki organizacyjne muszą być wdrożone, aby spełnić potrzeby organizacji? Jakie jest ryzyko? Jakie powinny być standardy etyczne dla organizacji, aby mogła ona realizować swoje zadania z pomocą Internetu? Kto powinien być za to odpowiedzialny? Podstawą odpowiedzi na te pytania jest konceptualna polityka bezpieczeństwa organizacji (Swanson, M., 2001).

    Następny rozdział zawiera fragmenty hipotetycznych polityk bezpieczeństwa bezpiecznej pracy w Internecie. Fragmenty te zostały opracowane na podstawie analizy głównych typów urządzeń zabezpieczających.

    Polityki bezpieczeństwa można podzielić na dwie kategorie: politykę techniczną realizowaną za pomocą sprzętu i oprogramowania oraz politykę administracyjną, wykonywaną przez osoby korzystające z systemu i osoby nim zarządzające (Swanson, M., 2001).

    Wspólna polityka bezpieczeństwa organizacji:

    1. Każdy system informatyczny musi posiadać politykę bezpieczeństwa
    2. Polityka bezpieczeństwa musi być zatwierdzona przez kierownictwo organizacji
    3. Polityka bezpieczeństwa powinna docierać do wszystkich pracowników w prostej i zrozumiałej formie
    4. Polityka bezpieczeństwa powinna zawierać:
    • definicję bezpieczeństwa informacji, jej główne cele i zakres, a także znaczenie jako mechanizmu, umożliwiającego zbiorowe korzystanie z informacji
    • stanowisko kierownictwa w zakresie celów i zasad bezpieczeństwa informacji
    • określenie ogólnych i szczegółowych obowiązków w zakresie zapewnienia bezpieczeństwa informacji
    • linki do dokumentów związanych z polityką bezpieczeństwa, takich jak szczegółowe wytyczne lub zasady bezpieczeństwa dla użytkowników
    1. Polityka bezpieczeństwa musi spełniać określone wymagania:
    • odpowiadać krajowym i międzynarodowym przepisom prawnym
    • zawierać postanowienia dotyczące szkolenia personelu w zakresie bezpieczeństwa
    • zawierać instrukcje wykrywania i zapobiegania złośliwemu oprogramowaniu
    • określać konsekwencje naruszeń polityki bezpieczeństwa polityki
    • uwzględniać wymagania ciągłości działania
    1. Musi być zdefiniowana osoba odpowiedzialna za procedurę przeglądu i aktualizacji zapisów polityki bezpieczeństwa
    2. Weryfikacja polityki bezpieczeństwa musi być przeprowadzona w wyniku następujących przypadków:
    • zmian w infrastrukturze organizacyjnej organizacji
    • zmian w infrastrukturze technicznej organizacji
    1. Podlegające regularnemu przeglądowi polityki bezpieczeństwa są następujące cechy:
    • koszt i wpływ środków zaradczych na wyniki organizacji(ISO/IEC 17799:2005)

    Raportowanie

    Raport kryminalistyczny uwypukla dowody w sądzie, a także pomaga w zebraniu większej ilości dowodów i może być wykorzystany podczas rozpraw sądowych. Raport musi zawierać zakres dochodzenia. Informatyk śledczy musi być świadomy rodzajów raportów informatyki śledczej, takich jak raport formalny, raport pisemny, raport ustny i plan badania. Raport formalny zawiera fakty z ustaleń dochodzenia. Sprawozdanie pisemne jest jak deklaracja lub oświadczenie, które może być złożone pod przysięgą, a więc musi być jasne, precyzyjne i szczegółowe. Raport ustny jest mniej ustrukturyzowany i jest raportem wstępnym, który odnosi się do obszarów dochodzenia, które nie zostały jeszcze omówione. Plan badania jest ustrukturyzowanym dokumentem, który pomaga śledczemu zrozumieć pytania, których należy się spodziewać podczas uzasadniania dowodów. Plan badania pomaga również prawnikowi zrozumieć terminy i funkcje, które zostały użyte w dochodzeniu z zakresu informatyki śledczej (Nelson, B., et al., 2008). Ogólnie rzecz biorąc, raport z informatyki śledczej zawiera następujące funkcje:

    • Cel raportu
    • Autor raportu
    • Podsumowanie incydentu
    • Dowody
    • Analiza
    • .

    • Wnioski
    • Dokumenty potwierdzające

    Istnieje wiele narzędzi kryminalistycznych do generowania raportu z dochodzenia kryminalistycznego, takich jak ProDiscover, FTK i EnCase (Nelson, B., et al., 2008).

    Wnioski

    Ten raport zawiera jak przeprowadzić Computer Forensic Investigation i Malware Investigation w różnych metodach i przy użyciu różnych narzędzi. Raport ten zawiera również cztery główne procedury polityki bezpieczeństwa ACPO i IS017799, które muszą być wdrożone w każdej organizacji w celu poprawy architektury sieci bezpieczeństwa. Przeanalizowany został również model First Four Step Forensic Investigation i dlaczego wybraliśmy ten model do przeprowadzenia śledztwa w tej sprawie. Raport zawiera również ważne kroki przygotowawcze przed rozpoczęciem śledztwa. Następnie raport zawiera część analityczną, w której przeanalizowaliśmy dane, które zebraliśmy różnymi metodami, aby uzyskać wyniki. Ten raport ma również zalecenia, aby uniknąć naruszenia bezpieczeństwa w przyszłości.

    Cyfrowe dochodzenie sądowe jest trudnym procesem, ponieważ każdy incydent różni się od innych incydentów. Informatyk śledczy musi posiadać wystarczające kompetencje techniczne i prawne, aby przeprowadzić dochodzenie. Ponieważ dowody, które są dostarczane przez informatyka śledczego mogą stanowić ważną część sprawy, raport z dochodzenia musi być precyzyjny i szczegółowy.

    • 7safe, (2013) „Good Practice Guide for Computer-Based Electronic Evidence”, Available at: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, dostęp 12 stycznia 2014 r.
    • ACPO (2013), „Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
    • Adams, R., (2012), „Evidence and Digital Forensics”, Australian Security Magazine, dostępny pod adresem http://www.australiansecuritymagazine.com.au/, dostęp 31 grudnia 2013 r.
    • Aquilina, M.J., (2003), „Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
    • Carvey, H., (2005), „Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
    • Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
    • CJCSM 6510.01B, 2012, „Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
    • Dave, P., (2013), „SQL – A Career in Database Forensics!”, Available at http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, accessed on 2nd January 2014.
    • Fowler, K., (2007), „Forensic Analysis of a SQL Server 2005 Database Server”, Available at https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, accessed on 2nd January 2014.
    • Han, D.R., (2012), „SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, dostępne pod adresem www.isaca.org/journal, dostęp 05.01.2014
    • Hunt, R., (2012), „New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
    • ISO/IEC 17799:2005, (2005), „Information technology – Security techniques – Code of practice for information security management”, Available at http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, accessed on 10th January 2014.
    • ISO1799, (2005), „ISO 17799 Information and Resource Portal”, Available at http://17799.denialinfo.com/ , Accessed on 10th January 2014.
    • Kendall, K,(2007), „Practical Malware Analysis”, Mandiant Intelligent Information Security, Available at http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accessed on 10th January 2014.
    • Kent, K, and Grance, T., (2006), „Guide to Integrating Forensic Techniques into Incident Response”, Available at: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Dostęp 13 stycznia 2014.
    • Kent, K., et.al., (2006). „Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
    • Khanuja, H.K., and Adane, D.S., (2011), „Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapur: IACSIT Press.
    • Kruse II, W.G., and Heiser, J.G. (2010), „Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
    • Microsoft, (2013), „Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
    • Nelson, B., et. al., (2008), „Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
    • Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
    • Reino, A. (2012), „Forensics of a Windows System”, Roche.
    • SANS, (2010), „Integrating Forensic Investigation Methodology into eDiscovery”, Available at: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Dostęp 13 stycznia 2014.
    • Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
    • Swanson, M., (2001), „NIST Security Self-Assessment Guide for Information Technology Systems” Available at http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Accessed on 9th January 2014.
    • US-CERT, (2012), „Computer Forensics”, Available at http://www.us-cert.gov/reading-room/forensics.pdf, accessed on 30th December 2013.
    • Venter, J. P., (2006), „Process Flows for Cyber Forensics Training and Operations”, Available at http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, accessed on 30th December 2013.
    • Wong, L.W.,(2006) „Forensic Analysis of the Windows Registry” Available at http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Accessed on 10 January 2014

    .

Articles