Disclaimer: Nu am efectuat nicio investigație în direct. Aceasta a fost o parte a temei noastre universitare, în care ne-am asumat rolurile de investigator criminalistic, determinând ce metode sunt aplicabile. Sunteți bineveniți să veniți cu propriile dvs. constatări și să rezolvați cazul. Am încercat să urmăm metodologia globală, ilustrând modul în care ar trebui să arate un raport de investigație criminalistică de bază.
Credite
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introducere
Tehnologia informatică este parte integrantă majoră a vieții umane de zi cu zi, și este în creștere rapidă, la fel ca și infracțiunile informatice, cum ar fi frauda financiară, intruziunea neautorizată, furtul de identitate și furtul intelectual. Pentru a contracara aceste infracțiuni informatice, Computer Forensics joacă un rol foarte important. „Computer Forensics presupune obținerea și analiza informațiilor digitale pentru a fi utilizate ca probe în cazuri civile, penale sau administrative (Nelson, B., et al, 2008).”
O investigație criminalistică informatică investighează, în general, datele care ar putea fi preluate de pe hard disk-urile calculatoarelor sau de pe orice alte dispozitive de stocare, cu respectarea politicilor și procedurilor standard, pentru a determina dacă aceste dispozitive au fost sau nu compromise prin acces neautorizat. Investigatorii în criminalistică informatică lucrează în echipă pentru a investiga incidentul și pentru a efectua analiza criminalistică utilizând diverse metodologii (de exemplu, statică și dinamică) și instrumente (de exemplu, ProDiscover sau Encase) pentru a se asigura că sistemul de rețele de calculatoare este sigur într-o organizație. Un Computer Forensic Investigator de succes trebuie să fie familiarizat cu diverse legi și reglementări legate de infracțiunile informatice din țara sa (de exemplu, Computer Misuse Act 1990, în Regatul Unit) și cu diverse sisteme de operare pentru calculatoare (de exemplu, Windows, Linux) și sisteme de operare de rețea (de exemplu, Win NT). Potrivit lui Nelson, B., et al., (2008), investigațiile publice și investigațiile private sau corporative sunt cele două categorii distincte care se încadrează în investigațiile criminalistice informatice. Investigațiile publice vor fi efectuate de către agențiile guvernamentale, iar investigațiile private vor fi efectuate de către o echipă privată de criminalistică informatică. Acest raport se va axa pe investigațiile private, deoarece un incident a avut loc la un IMM nou înființat, cu sediul în Luton.
Acest raport include, de asemenea, un model de investigație informatică, colecții de date și tipurile acestora, achiziții de probe, instrumente criminalistice, investigații rău intenționate, aspecte juridice ale criminalisticii informatice și, în cele din urmă, acest raport oferă, de asemenea, recomandările, contramăsurile și politicile necesare pentru a se asigura că acest IMM va fi plasat într-un mediu de rețea securizat.
Studiu de caz
Un IMM (întreprindere mică și mijlocie) nou-înființat, cu sediul în Luton, cu un model de guvernare electronică, a început recent să observe anomalii în înregistrările sale contabile și de produse. A întreprins o verificare inițială a fișierelor jurnal de sistem și a constatat că există o serie de intrări suspecte și adrese IP cu o cantitate mare de date trimise în afara firewall-ului companiei. De asemenea, au primit recent o serie de plângeri din partea clienților care spun că deseori este afișat un mesaj ciudat în timpul procesării comenzilor, iar aceștia sunt adesea redirecționați către o pagină de plată care nu pare legitimă.
Compania utilizează un pachet eBusiness de uz general (OSCommerce) și are o echipă mică de șase profesioniști de asistență IT, dar nu consideră că au expertiza necesară pentru a efectua o investigație malware/forensică la scară largă.
Cum există o concurență crescută în domeniul hi-tech, compania este nerăbdătoare să se asigure că sistemele sale nu sunt compromise și a angajat un investigator de criminalistică digitală pentru a determina dacă a avut loc vreo activitate malițioasă și pentru a se asigura că nu există malware în sistemele sale.
Sarcina dvs. este de a investiga suspiciunile echipei și de a sugera echipei cum ar putea dezinfecta orice mașină afectată de malware și de a vă asigura că nicio altă mașină din sediul lor sau din rețea nu a fost infectată. Echipa dorește, de asemenea, să efectuați o investigație criminalistică digitală pentru a vedea dacă puteți depista cauza problemelor și, dacă este necesar, să pregătiți un caz împotriva autorilor.
Compania folosește Windows Server NT pentru serverele sale. Patch-urile sunt aplicate lunar de către echipa de asistență IT, dar echipa a observat că un număr de mașini nu par să fi fost patch-uri.
Deliverables
Livrarea dvs. în această temă este un raport de 5.000 de cuvinte în care să discutați modul în care ați aborda următoarele:
– Investigarea malware-ului
– Investigarea criminalistică digitală
Ar trebui să discutați o prezentare generală a metodologiei pe care o veți utiliza și să oferiți un argument motivat cu privire la motivul pentru care metodologia particulară aleasă este relevantă.
De asemenea, ar trebui să discutați procesul pe care îl veți utiliza pentru a colecta probe și să discutați liniile directoare relevante care trebuie respectate atunci când colectați probe digitale.
Ca o discuție conținută în cadrul raportului dumneavoastră, ar trebui, de asemenea, să oferiți o evaluare critică a instrumentelor și tehnicilor existente care sunt utilizate pentru investigațiile criminalistice digitale sau pentru investigațiile malware și să evaluați eficacitatea acestora, discutând aspecte precum coerența abordărilor adoptate, competențele necesare investigatorilor criminaliști și problemele legate de metodologiile existente (în special în ceea ce privește absența unei abordări globale comune unice pentru efectuarea unor astfel de investigații și problemele care pot apărea atunci când este necesar să se efectueze o investigație care depășește granițele internaționale).
Association of Chief Police Officers (ACPO)
Această investigație criminalistică va fi efectuată în conformitate cu liniile directoare ale Association of Chief Police Officers (ACPO) și, de asemenea, cu cele patru principii ale acesteia. Există patru principii ACPO implicate în probele electronice bazate pe calculator. Aceste principii trebuie să fie respectate atunci când o persoană efectuează investigația criminalistică informatică. Rezumatul acestor principii este după cum urmează (ACPO, 2013);
Principiul 1: Datele stocate pe un calculator sau pe un suport de stocare nu trebuie să fie modificate sau schimbate, deoarece aceste date pot fi prezentate ulterior în instanță.
Principiul 2: O persoană trebuie să fie suficient de competentă în manipularea datelor originale păstrate pe un calculator sau pe un suport de stocare, dacă este necesar, și, de asemenea, trebuie să fie capabilă să ofere dovezi care să explice relevanța și desfășurarea acțiunilor sale.
Principiul 3: Trebuie creată și păstrată o pistă de audit sau o altă documentație a tuturor proceselor aplicate probelor electronice bazate pe calculator. O terță parte independentă ar trebui să fie capabilă să examineze aceste procese și să obțină același rezultat.
Principiul 4: O persoană responsabilă de investigație trebuie să aibă responsabilitatea generală de a contabiliza faptul că legea și principiile ACPO sunt respectate.
Modelul de investigație informatică
Potrivit lui Kruse II, W.G., și Heiser, J.G. (2010), o investigație informatică constă în identificarea dovezilor, conservarea acestor dovezi, extragerea lor, documentarea fiecărui proces și validarea acestor dovezi și analizarea lor pentru a găsi cauza principală și prin care să se ofere recomandări sau soluții.
„Computer Forensics este un domeniu nou și există mai puțină standardizare și consecvență în cadrul instanțelor și al industriei” (US-CERT, 2012). Fiecare model de computer forensic se concentrează pe un anumit domeniu, cum ar fi aplicarea legii sau descoperirea probelor electronice. Nu există un model unic de investigație criminalistică digitală care să fie acceptat în mod universal. Cu toate acestea, a fost în general acceptat faptul că cadrul modelului de criminalistică digitală trebuie să fie flexibil, astfel încât să poată susține orice tip de incidente și noi tehnologii (Adam, R., 2012).
Kent, K., et.al, (2006) a dezvoltat un model de bază de investigație criminalistică digitală numit Four Step Forensics Process (FSFP) (Procesul de criminalistică în patru etape) cu ideea lui Venter (2006) că investigația criminalistică digitală poate fi efectuată chiar și de către persoane fără cunoștințe tehnice. Acest model oferă mai multă flexibilitate decât orice alt model, astfel încât o organizație poate adopta cel mai potrivit model în funcție de situațiile apărute. Acestea sunt motivele pentru care am ales acest model pentru această investigație. FSFP conține următoarele patru procese de bază, așa cum se arată în figură:
Figura 1: FSFP Forensic Investigation Model
Sursa: FSFP Forensic Investigation Model
Sursa: Kent, K., et.al, (2006)
Semnul săgeții „Preserve and Document Evidence” (Păstrați și documentați probele) indică faptul că trebuie să păstrăm și să documentăm toate probele pe parcursul investigației, deoarece acestea pot fi prezentate în instanță ca probe în unele cazuri. Vom discuta fiecare proces sau etapă a modelului de investigație FSFP în următoarele secțiuni.
Scopul investigației
Scopurile investigațiilor criminalistice pentru acest caz sunt următoarele:
- Identificarea activităților rău intenționate în ceea ce privește cei 5W (Why, When, Where, What, Who).
- Să identifice lacunele de securitate din rețeaua lor.
- Să afle impactul în cazul în care sistemul de rețea a fost compromis.
- Să identifice procedurile legale, dacă este necesar.
- Să ofere măsuri de remediere în vederea întăririi sistemului.
Provocări legale ale investigației
Potrivit lui Nelson, B., et al., (2008), provocările legale înainte de a începe investigația criminalistică sunt următoarele:
-
Determinarea dacă este nevoie de asistența forțelor de ordine, iar dacă da, atunci acestea pot fi disponibile pentru asistență în timpul investigației, sau altfel trebuie să le prezentăm raportul de investigație la sfârșitul investigației.
-
Obținerea permisiunii scrise de a efectua investigația criminalistică, cu excepția cazului în care există o altă procedură de autorizare a răspunsului la incidente.
-
Discutarea cu consilierii juridici pentru a identifica problemele potențiale care pot fi ridicate în timpul manipulării necorespunzătoare a investigațiilor.
-
Asigurarea faptului că problemele de confidențialitate și de viață privată ale clienților sunt luate în considerare.
Pregătirea inițială
Este evident că înainte de a începe investigația, trebuie să avem o pregătire pentru a desfășura investigația în mod eficient. Aceasta este considerată o măsură proactivă de investigare (Murray, 2012). În etapa de pregătire trebuie parcurse următoarele etape:
-
Colectarea tuturor informațiilor disponibile din evaluarea incidentului, cum ar fi gravitatea incidentului.
-
Identificarea impactului investigației asupra afacerii IMM-urilor, cum ar fi timpul de nefuncționare a rețelei, durata de recuperare în urma incidentului, pierderea de venituri și pierderea de informații confidențiale.
-
Obținerea de informații despre rețele, dispozitive de rețea, cum ar fi router, switch-uri, hub-uri, etc., documentația privind topologia rețelei, calculatoare, servere, firewall și diagrama rețelei.
-
Identificarea dispozitivelor de stocare externe, cum ar fi pen drive, flash drive, hard disk extern, CD, DVD, carduri de memorie și computerul de la distanță.
-
Identificarea instrumentelor criminalistice care pot fi utilizate în această investigație.
-
Capturarea traficului de rețea în direct în cazul în care activitățile suspecte sunt încă în desfășurare cu instrumentele „netmon”.
-
Documentarea tuturor activităților din timpul investigației, care pot fi folosite în instanță pentru a verifica cursul de acțiune care a fost urmat în cadrul investigației.
-
Imagazinarea hard disk-ului dispozitivelor țintă și hashing-ul cu MD5 pentru integritatea datelor.
Colectare
„Faza de colectare este prima fază a acestui proces constă în identificarea, etichetarea, înregistrarea și achiziționarea de date de la posibilele surse de date relevante, respectând în același timp liniile directoare și procedurile care să păstreze integritatea datelor” (CJCSM 6510.01B, 2012). Există două tipuri diferite de date care pot fi colectate în cadrul unei investigații criminalistice informatice. Acestea sunt datele volatile și datele nevolatile (date persistente). Datele volatile sunt date care există atunci când sistemul este pornit și se șterg atunci când este oprit, de exemplu memoria cu acces aleatoriu (RAM), registrul și memoria cache. Datele nevolatile sunt date care există pe un sistem atunci când acesta este pornit sau oprit, de exemplu, documentele din HD. Având în vedere că datele volatile au o durată de viață scurtă, un investigator de criminalistică informatică trebuie să știe care este cea mai bună modalitate de a le capta. Dovezile pot fi colectate la nivel local sau de la distanță.
Date volatile
Figura următoare arată cum se captează datele volatile. Stația de lucru criminalistică trebuie să fie situată în aceeași rețea LAN în care se află mașina țintă, în acest caz Windows NT Server. Instrumentele „Cryptcat” pot fi utilizate pe stația de lucru criminalistică pentru a asculta portul serverului Windows NT. Creați unitatea optică a setului de instrumente de încredere în serverul Windows NT și deschideți consola de încredere cmd.exe și folosiți următoarea comandă:
cryptcat <adresaip> 6543 -k key
Pentru a captura datele la stația de lucru criminalistică, folosim următoarea comandă:
cryptcat -l -p 6543 -k key >> <file name>
Figura 2: Configurarea colectării datelor volatile
Sursa: Reino, A., (2012)
Tabelul următor prezintă instrumentele de interfață grafică cu utilizatorul, precum și utilizarea și rezultatul acestora pot fi utilizate în investigația criminalistică a calculatoarelor.
Tabelul 1: Instrumente criminalistice de date volatile și utilizarea și rezultatul acestora
Sursa: Reino, A., (2012)
Utilizăm, de asemenea, diverse instrumente bazate pe Windows pentru a captura datele volatile, după cum urmează:
HBGray’s FastDump – Achiziționarea locală a memoriei fizice.
HBGray’s F-Response – Achiziționarea la distanță a memoriei fizice
ipconfig – Colectarea detaliilor sistemului subiectului.
netusers și qusers – Identificarea utilizatorilor conectați
doskey/history – Colectarea istoricului comenzilor
netfile – Identificarea serviciilor și driverelor
În cele din urmă, colectarea conținutului clipboard-ului este, de asemenea, foarte importantă într-o investigație criminalistică pe calculator. Se pot găsi mai multe dovezi de la o mașină care încă funcționează, deci dacă anomaliile sunt încă prezente în IMM, atunci putem recupera o mulțime de dovezi importante din procesele care rulează, conexiunea la rețea și datele care sunt stocate în memorie. Există o mulțime de dovezi atunci când mașina se află în stare volatilă și, prin urmare, trebuie să ne asigurăm că calculatoarele afectate nu sunt închise pentru a colecta astfel de dovezi.
Date nevolatile
După ce datele volatile au fost capturate, vom analiza datele nevolatile. Primul pas în colectarea datelor nevolatile este de a copia conținutul întregului sistem țintă. Acest lucru se mai numește și „imagistică criminalistică”. Imagistica ajută la păstrarea datelor originale ca probe, fără nicio defecțiune sau modificare a datelor care apare în timpul investigației criminalistice. Imagistica criminalistică va fi creată de instrumente criminalistice cum ar fi EnCase, ProDiscover și FTK. Un investigator criminalistic utilizează un blocant de scriere pentru a se conecta la sistemul țintă și a copia întregul conținut al unității țintă pe un alt dispozitiv de stocare, utilizând oricare dintre aceste instrumente criminalistice. Clonarea unui hard disk nu este altceva decât realizarea unui duplicat al întregului sistem. Diferența dintre imagistica criminalistică și clonarea hard disk-ului este că imagistica criminalistică nu poate fi accesată fără instrumente criminalistice, dar clonarea hard disk-ului poate fi accesată cu ușurință cu o unitate de montare. Clonarea hard disk-ului conține doar o imagine brută, iar fiecare bit va fi copiat și nu va fi adăugat niciun alt conținut suplimentar. Imaginea criminalistică conține metadate, de exemplu, hashes și timestamps și comprimă toate blocurile goale. Imagistica criminalistică va folosi hash-uri cu MD5 sau SHA-2 pentru a asigura integritatea dovezilor digitale (Nelson, B., et al., 2008).
Colectarea datelor se poate face în cadrul investigațiilor offline și online. Imagistica criminalistică se poate face cu investigația offline. Traficul de rețea în timp real se poate face cu investigația online prin utilizarea instrumentelor ethereal sau Wireshark. Jurnalele firewall, jurnalele antivirus și jurnalele controlerului de domeniu vor fi colectate pentru investigație în cadrul colectării datelor nevolatile. Se vor colecta, de asemenea, jurnalele serverului web, jurnalele de evenimente Windows, jurnalele bazelor de date, jurnalele IDS și jurnalele aplicațiilor. După ce colectăm toate dovezile digitale, acestea trebuie să fie documentate în documentația jurnalului lanțului de custodie. Documentația jurnalului lanțului de custodie are rolul de a menține integritatea probelor de la începutul până la sfârșitul investigației, până când va fi prezentat acest raport de investigație (Nelson, B., et al., 2008).
Înainte de a efectua orice alt proces, trebuie să realizăm imaginea discului bit cu bit, care va accesa întregul volum și va copia suportul original, inclusiv fișierele șterse. După ce discul este imaginat, ar trebui să hashăm totul, ceea ce ne va asigura că datele sunt autentice și că integritatea datelor va fi menținută pe tot parcursul investigației. Valorile hash trebuie să fie înregistrate în mai multe locații și trebuie să ne asigurăm că nu facem nicio modificare a datelor din momentul colectării datelor până la sfârșitul investigației. Majoritatea instrumentelor ajută la realizarea acestui lucru prin accesarea suportului într-o stare de numai citire (SANS, 2010). Hard disk-urile sistemului țintă, dispozitivele de stocare externă și hard disk-ul serverului Windows NT trebuie să fie achiziționate pentru investigația criminalistică digitală în acest caz.
Examinare
După ce am adunat toate dovezile disponibile, trebuie să efectuăm examinarea cu ajutorul diferitelor instrumente de investigație criminalistică a calculatoarelor. Examinăm, de asemenea, sistemul de fișiere, registrul Windows, rețeaua și examinarea criminalistică a bazelor de date, după cum urmează:
Examinarea sistemului de fișiere
NTFS este New Technology File System, iar NTFS Disk este un fișier. MFT este Master File Table care conține informații despre toate fișierele și discurile și este, de asemenea, primul fișier din NTFS. Înregistrările din MFT se mai numesc și metadate. Metadatele sunt date despre date (Nelson, B., et. al., 2008). Fișierele pot fi stocate în MFT în două moduri: rezident și nerezident. Un fișier care are mai puțin de 512 octeți poate fi găzduit în MFT ca fișiere rezidente, iar un fișier care are mai mult de 512 octeți poate fi stocat în afara MFT ca fișiere nerezidente. Atunci când un fișier este șters în Windows NT, acesta va fi redenumit de către sistemul de operare și va fi mutat în coșul de reciclare cu o identitate unică. Sistemul de operare stochează informații despre calea originală și numele original al fișierului în fișierul info2. Dar dacă un fișier este șters din coșul de reciclare, atunci clusterele asociate sunt marcate ca fiind disponibile pentru date noi. NTFS este mai eficient decât FAT, deoarece este mai rapid în recuperarea spațiului șters. Discurile NTFS sunt un flux de date, ceea ce înseamnă că acestea pot fi adăugate într-un alt fișier existent. Un fișier de flux de date poate fi stocat după cum urmează:
C:echo text_mess > file1.txt:file2.txt
Acest fișier poate fi recuperat prin următoarea comandă:
C:more < file1.txt:file2.txt
W2K.Stream și Win2K.Team sunt viruși care au fost dezvoltați prin utilizarea unui flux de date și au fost dezvoltați cu intenția de a modifica fluxul de date original. În calitate de investigator, trebuie să cunoaștem în profunzime sistemele de fișiere Windows FAT și NTFS (Nelson, B., et. al., 2008).
Examinarea registrului Windows
Potrivit lui (Carvey, H., 2005), un registru poate fi tratat ca un fișier jurnal deoarece conține date care pot fi recuperate de către un investigator criminalistic valorile cheie asociate se numesc ora „Lastwrite”, care este stocată ca FILETIME și este considerată a fi ultima oră de modificare a unui fișier. În cazul fișierelor, este adesea dificil să se obțină o dată și o oră precise de modificare a fișierului, dar „Lastwrite” arată când a fost modificat ultima dată registrul. Fantastic va trece în revistă anumiți pași (Carvey, H., 2005) care sunt enumerați mai jos pentru a analiza registrul Windows al organizației pentru a se asigura că problema din interiorul și din afara organizației este cunoscută și este în curs de rezolvare pentru a proteja și a menține reputația companiei.
Registrul Windows este o ordine de baze de date dintr-un computer utilizat de Microsoft în Windows 98, Windows CE, Windows NT și Windows 2000 pentru a stoca configurația unui utilizator sau a unei aplicații și a dispozitivelor hardware, care este utilizată ca punct de referință în timpul executării unui program sau a unor procese (Windows, 2013). Structura comună a registrului Windows este împărțită în „Hives”, care sunt:
-
HKEY_CLASSES_ROOT: asigură că programele necesare sunt executate.
-
HKEY_CURRENT_USER: conține informații generale despre un utilizator care este conectat în mod curent la sistem.
-
HKEY_LOCAL_MACHINE: conține informații despre hardware, unități etc. ale unui sistem.
-
HKEY_USERS: conține toate informațiile despre utilizatorii de pe un anumit sistem.
-
HKEY_CURRENT_CONFIG: stochează informații despre configurația actuală a sistemului.
Registrul Windows este format din informații volatile și nevolatile. Acest lucru înseamnă că un investigator trebuie să fie cel puțin familiarizat cu fiecare semnificație și funcționalitate a colivelor, cheilor, datelor și valorilor unui registru Window înainte de a întreprinde orice investigație criminalistică a unui computer pentru a obține un raport de investigație criminalistică de succes.
Autostart Location: este o locație din registru în care aplicațiile sunt setate pentru a fi lansate fără inițierea unui utilizator. Cu această funcționalitate, un malware care afectează Luton SME poate rula în mod persistent atunci când mașina este pornită fără o interacțiune directă a utilizatorului, deoarece a fost deja programat să se pornească automat sau atunci când un utilizator execută anumite comenzi sau procese specifice.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option: este un registru Windows în care un atacator poate utiliza cheia pentru redirecționarea unei copii originale a unei aplicații către copia sa troiană (Carvey, H., 2005). Luton SME ar putea fi supus acestui atac: o redirecționare a paginii de plată a clientului către una nelegitimă.
Un investigator criminalistic poate examina locația de pornire automată pentru a determina dacă problema Luton SME rezultă dintr-o acțiune efectuată de un utilizator, un malware sau de un atacator asupra organizației. Potrivit lui (Carvey, H., 2005), modalitatea fiabilă de accesare a autolocației este utilizarea instrumentelor AutoRuns de la SysInternals.com, care pot furniza o listă a locațiilor de autostart.
Activitatea utilizatorului: acțiunea și activitățile unui utilizator pot fi investigate în hive-ul HKEY_CUREENT_USER, care este creat din hive-ul HKEY_USERSID. Informațiile despre utilizator sunt puse în corespondență cu HKEY_CURRENT_USER. NTUSER.DAT conține informații despre setările de specificații de registru ale unui utilizator. Examinarea acestui hive îi va oferi unui investigator criminalistic un indiciu bun despre activitățile și acțiunile întreprinse de un utilizator.
Lista celor mai recent utilizate (MRU): MRU reține acțiunile specifice recente întreprinse de un utilizator și ține evidența activităților pentru referințe viitoare. De exemplu, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU păstrează o listă executată a comenzilor rulate de un utilizator. Fiecare comandă executată din caseta de execuție va adăuga o intrare de valoare cheie în hive, așa cum se arată mai jos:
Figura3: Conținutul cheii ExplorerRunMRU.
Sursa: ExplorerRunMRU: Carvey, H., (2005)
Un investigator criminalistic poate studia acest hive pentru a afla sursa ultimei ore de scriere a fiecărei comenzi din lista MRU, așa cum se arată mai sus. Cu aceasta, investigatorul SME Luton va putea să analizeze din registru dacă a fost o activitate a utilizatorului, o acțiune malware sau un atac care afectează organizația.
UserAssist: conform (Carvey, H., 2005) UserAssist care se găsește sub stupul HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist este format din două chei care în mod obișnuit arată ca niște identificatori unici la nivel global care păstrează înregistrări criptate ale fiecărui obiect, aplicație, etc. pe care un utilizator le-a accesat pe sistem. Dacă un investigator a accesat înregistrarea criptată, care nu mai este definitivă, aceasta ar putea indica o acțiune pe care utilizatorul a făcut-o pentru a declanșa Malware-ul prin intermediul unei aplicații sau orice altă activitate pe care ar fi putut să o facă.
USB removable Storage: conform lui Farmer, College și Vermont (2008), toate dispozitivele conectate la sistem sunt păstrate într-un registru al computerului sub următoarea cheie HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Figura de mai jos prezintă un exemplu de ID-uri de unitate ale unei unități USB de tip thumb drive:
Figura4: Exemplu de conținut al cheii USBSTOR, care arată ID-urile instanțelor de dispozitiv.
Sursa: Carvey, H., (2005)
Utilizând hibe ale unității montate, un investigator va avea un indiciu atunci când va analiza conținutul ID-ului dispozitivului menținut în registru pentru a ști ce dispozitiv a fost montat pe organizația Luton SME. Cu o examinare persistentă a fiecărei chei de valoare, un investigator poate identifica dispozitivele de stocare USB detașabile și le poate cartografia cu parentidprefix.
SSID-uri wireless: Conform (Carvey, H., 2005) SSID-urile rețelelor fără fir utilizate pe un computer pot fi găsite în HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Atunci când se navighează către valorile cheie, acestea conțin subclave care arată ca niște identificatori unici la nivel global, care, atunci când sunt deschise, un investigator poate naviga către ActiveSettings, care dezvăluie fiecare SSID wireless sub forma unui tip de date binare. Atunci când se face clic dreapta pentru a modifica, acesta dezvăluie SSID-urile în format scris simplu. Deși adresa IP și alte informații despre rețea pot fi găsite în HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, un investigator poate folosi aceste informații pentru a lega un utilizator din organizația Luton SME de un anumit interval de timp, dacă adresa IP a persoanei respective pare să fie descoperită în registrul Window de mai sus.
Registrul Windows poate fi, de asemenea, o sursă vitală de dovezi într-o investigație criminalistică dacă investigatorul știe de unde să obțină datele disponibile care pot fi bine prezentabile organizației Luton SME. Fantastic a încercat să analizeze unele dintre registrele de bază ale Windows care ar fi putut cauza redirecționarea paginii sale web, a urmărit activitatea utilizatorului și toate programele necesare pe care un utilizator le-a executat, dispozitivele utilizate pe server sau pe oricare dintre computerele organizației și, de asemenea, a dezvăluit adresa IP a utilizatorilor.
Examinarea criminalistică a rețelei
Achiziționarea, colectarea și analiza evenimentelor care au loc în rețea este denumită criminalistică de rețea. Uneori mai este cunoscută și sub denumirea de analiza criminalistică a pachetelor sau extragerea pachetelor. Obiectivul de bază al criminalisticii rețelelor este același, și anume de a colecta informații despre pachetele din traficul de rețea, cum ar fi e-mailurile, interogările, navigarea conținutului web etc., și de a păstra aceste informații la o singură sursă și de a efectua inspecții ulterioare (WildPackets, 2010).
Cercetarea criminalistică a rețelelor poate fi aplicată în două moduri principale. Primul este cel legat de securitate, în care o rețea este monitorizată pentru trafic suspect și orice fel de intruziuni. Este posibil ca atacatorul să șteargă toate fișierele jurnal de pe o gazdă infectată, astfel încât, în această situație, dovezile bazate pe rețea intră în joc în analiza criminalistică. A doua aplicație a tehnicii criminalistice de rețea este legată de aplicarea legii, unde traficul de rețea care a fost capturat ar putea fi folosit pentru a colecta fișierele care au fost transferate prin rețea, căutarea de cuvinte cheie și analiza comunicării umane care a fost realizată prin e-mailuri sau alte sesiuni similare. (Hunt, 2012)
Tools and Techniques of Network Forensics
Putem efectua orice operațiune cu un DVD/CD-ROM bootabil din punct de vedere criminalistic, o unitate flash USB sau chiar o dischetă. În primul rând, trebuie să descărcăm memoria, iar acest lucru este de preferat să se facă cu o unitate Flash USB de dimensiuni suficiente. De asemenea, trebuie să efectuăm o evaluare a riscurilor atunci când ne pregătim să colectăm date volatile pentru a evalua dacă este sigur și relevant să colectăm astfel de date live, care pot fi foarte utile în cadrul unei investigații. Ar trebui să folosim seturi de instrumente criminalistice pe tot parcursul procesului, deoarece acest lucru ne va ajuta să îndeplinim cerințele unei investigații criminalistice. Aceste instrumente ar trebui să fie de încredere și pot fi achiziționate de la cele distribuite gratuit la cele comerciale. (7safe, 2013)
Câteva informații foarte importante și discrete ar trebui să fie colectate de pe o mașină în funcțiune, cu ajutorul unor instrumente de încredere, cum ar fi:
-
Listări de procese.
-
Listări de servicii.
-
Informații de sistem.
-
Utilizatori conectați și înregistrați.
-
Conexiuni de rețea.
-
Informații de registru.
-
Vărsare binară a memoriei.
Există multe tipuri diferite de instrumente de analiză criminalistică a rețelelor, fiecare cu funcții diferite. Unele sunt doar dispozitive de adulmecare a pachetelor, iar altele se ocupă de identificare, amprentare, localizare, cartografiere, comunicații prin e-mail, servicii web etc. Tabelul de mai jos enumeră câteva dintre instrumentele open-source care pot fi utilizate pentru analiza criminalistică a rețelelor și funcționalitățile acestora. (Hunt, 2012)
Instrument | Platformă | Site web | Atribute | |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F | |
NetStumbler | Windows | www.netstumbler.com | F | |
Wireshark | Unix & Windows | www.wireshark.org | F | |
Sleuth Kit | Unix | www.sleuthkit.org | F R C | |
Argus | Unix | www.qosient.com/argus | F L | |
SNORT | Windows /Unix | www.snort.org | F |
F: Filtrare &colectare; L: Analiză jurnal; R: Reasamblarea fluxului de date; C: Corelarea datelor; A: Vizualizare la nivel de aplicație
Tabelul 2: Instrumente criminalistice de rețea
Sursa: (Hunt, 2012)
Examinare criminalistică a bazelor de date
O bază de date este o colecție de date sau informații care este reprezentată sub formă de fișiere sau o colecție de fișiere. Recuperarea datelor din baza de date se poate face cu ajutorul unui set de interogări. Examinarea criminalistică a bazelor de date poate fi definită ca fiind aplicarea tehnicilor de investigație informatică și a tehnicilor de analiză pentru a aduna dovezile din baza de date pentru a le prezenta în fața unei instanțe de judecată. O investigație criminalistică trebuie efectuată asupra bazelor de date, deoarece o bază de date conține date sensibile în cazul în care există o mare probabilitate ca o breșă de securitate să fie încălcată de către intruși pentru a obține aceste informații personale.
În studiul de caz se menționează că o cantitate mare de date este trimisă din baza de date, astfel încât acum sarcina echipei Fantastic este de a efectua o investigație criminalistică asupra bazei de date cu ajutorul unor instrumente criminalistice. Analiza criminalistică a bazelor de date se concentrează pe identificarea, conservarea și analiza datelor. Potrivit lui Khanuja, H.K., și Adane, D.S., (2011), pentru a accesa baza de date, utilizatorii trebuie să obțină permisiuni precum autorizarea și autentificarea de la serverele bazei de date. Odată ce autorizația este obținută, numai utilizatorul poate accesa datele și, dacă dorește, poate modifica datele. Acum, dacă verificăm jurnalele de audit ale bazei de date, putem obține o listă a utilizatorilor care au primit permisiuni pentru a accesa datele. Echipa trebuie să caute în baza de date adresele IP care sunt conectate de la distanță, deoarece există șanse de modificare a datelor de către utilizatorul autorizat sau de către utilizatorul neautorizat.
Potrivit lui Dave, P., (2013), cu ajutorul investigației putem urmări operațiunile DDL (Data Definition Language), care sunt utilizate pentru a defini structura bazei de date, și DML (Data Manipulation Language), care sunt utilizate pentru a gestiona datele în cadrul bazei de date și putem identifica dacă există tranzacții pre și post care au avut loc în baza de date. Această investigație ne poate ajuta, de asemenea, să aflăm dacă există rânduri de date care au fost șterse în mod intenționat de către utilizator și este capabilă să le recupereze și, de asemenea, ne ajută să dovedim sau să infirmăm faptul că a avut loc o încălcare a securității datelor în cadrul bazei de date și ne ajută să determinăm domeniul de aplicare al intruziunii în baza de date. Instrumentul criminalistic Windows v1.0.03 este utilizat cu un fișier de configurare personalizat care va executa comenzile DMV (Distributed Management Views) și DBCC (Database Consistency Checker) pentru a aduna datele care sunt suficiente pentru a dovedi sau dezaproba intruziunea, așa cum s-a afirmat anterior (Fowler, K., 2007).
Analiză
În primul rând, trebuie să analizăm dovezile pe care le-am adunat și examinat. Vom analiza datele pentru a vedea dacă sunt prezentate sau nu fișiere ascunse sau fișiere neobișnuite. Apoi dacă există vreun proces neobișnuit care rulează și dacă există socket-uri deschise în mod neobișnuit. Ne vom uita, de asemenea, dacă au apărut solicitări ale aplicațiilor în mod neobișnuit. Apoi vom verifica contul, dacă există sau nu vreun cont neobișnuit. De asemenea, vom căuta sistemul de nivel de patch-uri, dacă a fost actualizat sau nu. Prin rezultatul acestor analize, vom ajunge să știm dacă sunt prezentate sau nu activități malițioase. Apoi, vom dezvolta o strategie suplimentară pentru investigația criminalistică, cum ar fi analiza completă a memoriei, analiza completă a sistemelor de fișiere, corelarea evenimentelor și analiza cronologică (Nelson, B., et. al., 2008). Conform acestui studiu de caz, există activități malițioase prezente în sistemul lor de rețea și acest lucru a fost confirmat și de analiza noastră inițială. Pentru a găsi capacitățile codului malițios și scopul acestuia, trebuie să efectuăm analiza executabilului malware. Analiza executabilului malware poate fi împărțită în analiză statică și analiză comportamentală.
Analiză malware
Potrivit raportului Verizon „2012 Data Breach Investigations Report”, 99% dintre vulnerabilități au dus la compromiterea datelor timp de câteva zile sau mai puțin, în timp ce 85% au necesitat mai multe săptămâni pentru a fi investigate. Aceasta reprezintă o provocare serioasă pentru departamentele de securitate, deoarece atacatorii au la dispoziție mult timp pentru a lucra într-un mediu compromis. Mai mult „timp liber” duce la mai multe date furate și la pagube mai grave. Acest lucru se datorează, în principal, faptului că măsurile de securitate actuale nu sunt destinate să facă față unor amenințări mai complexe (2012 Data Breach Investigations Report, Verizon, 2012).
Punctul de vedere atunci când se efectuează o investigație la locul crimei malware: anumite părți ale unui PC cu Windows sunt pe cale să dețină date care să se identifice cu instalarea și utilizarea malware-ului. Examinările legale ale cadrelor tranzacționate au încorporat un audit al valorilor hash ale înregistrărilor, al confuziilor de semnătură, al fișierelor împachetate, al jurnalelor de coliziune, al punctelor de restaurare a sistemului și al fișierului de pagini. O investigație mondenă a sistemelor de fișiere și a jurnalelor de evenimente poate fi direcționată pentru a distinge exercițiile din jurul momentului în care malware-ul a fost animat pe sistem. În plus, specialiștii avansați pot, de asemenea, să examineze Registrul pentru intrări neobișnuite, cum ar fi în zonele de pornire automată, și ajustări în jurul momentului instalării malware-ului. Se pot efectua vânători de cuvinte cheie pentru a descoperi referințe la malware și asocieri cu alte gazde negociate. Sunt recunoscuți vectorii normali de atac, care încorporează atașamentele de e-mail, istoricul de navigare pe internet și conectările neautorizate.
Potrivit Syngress „Malware Forensics – Investigating and Analyzing Malicious Code, 2003” ar trebui să se facă o investigație bazată pe următoarele:
-
Cercetarea programelor malware cunoscute
-
Revizuirea programelor instalate
-
Examinarea Prefetch
-
Inspectarea executabilelor
-
Revizuirea programelor automate.start
-
Revizualizați lucrările programate
-
Examinați jurnalele
-
Revizualizați conturile de utilizator
-
Examinați sistemul de fișiere
-
Examinați sistemul de fișiere
-
Examinați Registrul
-
Refaceți punctele de restaurare
-
Cercetarea cuvintelor cheie
.
Înainte de a începe analiza malware, trebuie să creăm mediul de analiză malware, cum ar fi VMware și Norton Ghost. VMware este un mediu de analiză malware bazat pe mediul virtual, iar Norton Ghost este un mediu de analiză malware dedicat.
Analiză statică
Analiza statică este tipul de analiză malware care este utilizat pentru a efectua analiza fără a rula programarea malware. Analiza statică este mai bună decât analiza dinamică în ceea ce privește analiza sigură. Deoarece programul malware nu rulează, nu există teama de a șterge sau modifica fișierele. Întotdeauna este mai bine să efectuați analiza malware statică într-un sistem de operare diferit, în care malware-ul nu este proiectat să ruleze sau să aibă impact. Deoarece un investigator poate, din greșeală, să facă dublu clic pe programul malware pentru a-l rula, iar acesta va afecta sistemul. Există atât de multe moduri de a face analiza statică, cum ar fi File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format și Disassembly (Kendall, K., 2007).
Analiză dinamică
Analiza dinamică este tipul de analiză malware în care codul malware rulează și își observă comportamentul. Se mai numește și Behaviour Malware Analysis. Analiza dinamică nu este sigură dacă nu suntem pregătiți să sacrificăm mediul de analiză malware. Putem analiza malware-ul prin simpla monitorizare a comportamentului funcțiilor malware. Există multe instrumente pentru a efectua analiza dinamică a malware-ului, dar Process Monitor de la SysInternals și Wireshark sunt cele mai utilizate și cele mai freeware (Kendall, K., 2007).
Potrivit lui Kendall, K., (2007), în aproape toate cazurile de malware, o simplă analiză statică și dinamică a malware-ului va găsi toate răspunsurile de care vor avea nevoie investigatorii malware pentru un anumit cod malware.
Constatări
În urma investigației noastre, rezumăm constatările noastre după cum urmează:
-
Am identificat accesul persistent de la distanță al atacatorului la computerele companiei.
-
Analiza criminalistică a identificat faptul că sistemele au fost compromise.
-
Patch-urile SO nu au fost instalate în unele sisteme.
-
Suspectul de malware a fost găsit în sistemul compromis.
-
Identificarea acelui malware și funcționalitatea lui & scopul malware-ului ne-a condus la concluzia că este un malware de ‘spamming’.
-
Am determinat că atacatorii au avut acces la sistemele clientului folosind malware-ul prin furnizarea în linkul website-ului corespunzător pentru gateway-ul de plată.
Acțiuni de remediere
Au fost considerate mai sus cele mai comune căi de pătrundere a software-ului malițios în rețea. Din cele de mai sus, se pot trage două concluzii importante:
-
Majoritatea metodelor descrise sunt cumva legate de factorul uman, prin urmare, instruirea angajaților și instruirea periodică privind securitatea vor spori securitatea rețelei;
-
Cazurile frecvente de piratare a site-urilor legitime conduc la faptul că și un utilizator competent își poate infecta calculatorul. De aceea, vin în prim plan măsurile clasice de protecție: software antivirus, instalarea la timp a ultimelor actualizări și monitorizarea traficului pe Internet.
Potrivit lui Shiner, D.L.D., și Cross, M., (2002), există contramăsuri majore de protecție împotriva programelor malware:
-
Autentificare și protecție prin parolă
-
Software antivirus
-
Firewalls (hardware sau software)
-
DMZ (zonă demilitarizată)
-
IDS (sistem de detectare a intruziunilor)
-
Filtre de pachete
-
Filtre de pachete
-
Routers și switch-uri
-
Servere proxy
-
VPN (Virtual Private Networks)
-
Logging și audit
-
Timp de control al accesului
-
Software/hardware proprietar nu este disponibil în domeniul public
.
În cazul nostru, cele mai utile sunt următoarele:
-
Firewall
-
Logging și audit
Firewall verifică toate paginile Web care intră în calculatorul utilizatorului. Fiecare pagină Web este interceptată și analizată de către firewall pentru coduri malițioase. Dacă o pagină Web accesată de utilizator conține cod malițios, accesul la aceasta este blocat. În același timp, se afișează o notificare că pagina solicitată este infectată. Dacă pagina Web nu conține cod malițios, aceasta devine imediat disponibilă utilizatorului.
Prin logare înțelegem colectarea și stocarea de informații despre evenimentele care au loc în sistemul informatic. De exemplu, cine și când a încercat să se conecteze la sistem și cum s-a încheiat această încercare, cine și ce resurse informaționale au fost folosite, ce și cine a modificat resursele informaționale și multe altele.
Auditul este o analiză a datelor acumulate, realizată prompt, aproape în timp real (Shiner, D.L.D., și Cross, M., 2002). Implementarea jurnalizării și a auditului are următoarele obiective principale:
-
Responsabilizarea utilizatorilor și administratorilor;
-
Furnizarea de posibilități de reconstituire a evenimentelor;
-
Detectarea tentativelor de încălcare a securității informațiilor;
-
Furnizarea de informații pentru identificarea și analiza problemelor.
Politici de securitate
Cele mai complete criterii de evaluare a mecanismelor de securitate la nivel organizațional sunt prezentate în standardul internațional ISO 17799: Code of Practice for Information Security Management, adoptat în anul 2000. ISO 17799 este versiunea internațională a standardului britanic BS 7799. ISO 17799 conține reguli practice pentru managementul securității informațiilor și poate fi utilizat ca și criteriu de evaluare a mecanismelor de securitate la nivel organizațional, inclusiv a măsurilor de securitate administrative, procedurale și fizice (ISO/IEC 17799:2005).
Reguli practice sunt împărțite în următoarele secțiuni:
-
politica de securitate;
-
organizarea securității informațiilor;
-
managementul activelor;
-
securitatea resurselor umane;
-
securitatea fizică și a mediului;
-
managementul comunicațiilor și al operațiunilor;
-
controlul accesului;
-
achiziția, dezvoltarea și întreținerea sistemelor de informații;
-
managementul incidentelor de securitate a informațiilor;
-
managementul continuității activității;
-
conformitate.
Aceste secțiuni descriu mecanismele de securitate la nivel organizațional implementate în prezent în organizațiile guvernamentale și comerciale din întreaga lume (ISO1799, 2005).
Câteva întrebări apar după ce se ia în considerare necesitatea de mai sus a unei anumite combinații de cerințe de afaceri pentru Internet. Ce măsuri software și hardware și organizaționale trebuie implementate pentru a satisface nevoile organizației? Care este riscul? Care ar trebui să fie standardele etice pentru ca organizația să-și îndeplinească sarcinile cu ajutorul Internetului? Cine ar trebui să fie responsabil pentru aceasta? Baza răspunsurilor la aceste întrebări este o politică de securitate conceptuală pentru organizație (Swanson, M., 2001).
Secțiunea următoare conține fragmente de politici de securitate ipotetice de lucru în siguranță în Internet. Aceste fragmente au fost concepute pe baza analizei principalelor tipuri de echipamente de securitate.
Politica de securitate poate fi împărțită în două categorii: politica tehnică, implementată cu ajutorul hardware-ului și software-ului, și politica administrativă, realizată de persoanele care utilizează sistemul și de persoanele care îl administrează (Swanson, M., 2001).
Politica de securitate comună pentru o organizație:
-
Care sistem informatic trebuie să aibă o politică de securitate
-
Politica de securitate trebuie să fie aprobată de conducerea organizației
-
Politica de securitate trebuie să ajungă la toți angajații într-o formă simplă și ușor de înțeles
-
Politica de securitate trebuie să includă:
-
definirea securității informației, principalele sale obiective și domeniul de aplicare, precum și importanța sa ca mecanism, care permite utilizarea colectivă a informațiilor
-
poziția conducerii cu privire la scopurile și principiile securității informațiilor
-
identificarea responsabilităților generale și specifice pentru asigurarea securității informațiilor
-
legături către documente legate de politicile de securitate, cum ar fi orientări detaliate privind siguranța sau reguli pentru utilizatori
-
Politica de securitate trebuie să îndeplinească anumite cerințe:
-
să corespundă legislației naționale și internaționale
-
să conțină prevederi pentru instruirea personalului în probleme de securitate
-
să includă instrucțiuni de detectare și prevenire a software-ului malițios
-
să definească consecințele încălcărilor securității politicii de securitate
-
să ia în considerare cerințele de continuitate a activității
-
Trebuie să fie definită o persoană responsabilă de procedura de revizuire și actualizare a prevederilor politicii de securitate
-
Revizuirea politicii de securitate trebuie să fie efectuată ca urmare a următoarelor cazuri:
-
:
-
modificări în infrastructura organizațională a organizației
-
modificări în infrastructura tehnică a organizației
-
Sunt supuse revizuirii periodice a politicii de securitate următoarele caracteristici:
-
costul și impactul contramăsurilor asupra performanțelor organizației(ISO/IEC 17799:2005)
Raportarea
Un raport de expertiză criminalistică evidențiază dovezile în instanță și, de asemenea, ajută la colectarea mai multor dovezi și poate fi utilizat în cadrul audierilor în instanță. Raportul trebuie să conțină domeniul de aplicare al investigației. Un investigator de criminalistică informatică trebuie să fie conștient de tipul de raport de criminalistică informatică, cum ar fi raportul formal, raportul scris, raportul verbal și planul de examinare. Un raport formal conține faptele din concluziile investigației. Un raport scris este ca o declarație sau o declarație sub jurământ care poate fi făcută sub jurământ, astfel încât trebuie să fie clar, precis și detaliat. Un raport verbal este mai puțin structurat și este un raport preliminar care abordează domeniile de investigație care nu au fost încă acoperite. Un plan de examinare este un document structurat care îl ajută pe investigator să înțeleagă întrebările la care trebuie să se aștepte atunci când justifică probele. Un plan de examinare îl ajută, de asemenea, pe avocat să înțeleagă termenii și funcțiile care au fost utilizate în investigația criminalistică informatică (Nelson, B., et al., 2008). În general, un raport de expertiză criminalistică informatică conține următoarele funcții:
-
Scopul raportului
-
Autorul raportului
-
Sinteza incidentului
-
Probe
-
Evidențe
-
Analiză
-
Concluzii
-
Documente justificative
.
Există multe instrumente criminalistice pentru a genera raportul de investigație criminalistică, cum ar fi ProDiscover, FTK și EnCase (Nelson, B., et al., 2008).
Concluzii
Acest raport conține modul de desfășurare a investigației criminalistice a calculatoarelor și a investigației malware prin diverse metode și utilizând diverse instrumente. Acest raport conține, de asemenea, cele patru principii principale ale ACPO și procedurile politicii de securitate IS017799 care trebuie implementate în fiecare organizație pentru a îmbunătăți arhitectura rețelei de securitate. De asemenea, raportul analizează modelul First Four Step Forensic Investigation și explică de ce am ales acest model pentru a efectua investigația criminalistică pentru acest caz. De asemenea, are etape importante de pregătire înainte de începerea investigației. Apoi, acest raport are o parte de analiză în care am analizat datele pe care le-am colectat prin diferite metode pentru a obține concluziile. Acest raport are, de asemenea, recomandări pentru a evita încălcarea securității în viitor.
Investigația criminalistică digitală este un proces provocator, deoarece fiecare incident diferă de alte incidente. Un investigator de criminalistică informatică trebuie să fie suficient de competent din punct de vedere tehnic și juridic pentru a conduce investigația. Deoarece dovezile care sunt furnizate de un investigator de criminalistică informatică pot fi o parte importantă a cazului, raportul de investigație trebuie să fie precis și detaliat.
-
7safe, (2013) „Good Practice Guide for Computer-Based Electronic Evidence”, Disponibil la: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, accesat la 12 ianuarie 2014.
-
ACPO (2013), „Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), „Evidence and Digital Forensics”, Australian Security Magazine, Disponibil la http://www.australiansecuritymagazine.com.au/, accesat la 31 decembrie 2013.
-
Aquilina, M.J., (2003), „Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), „Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Studii de caz, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, „Cyber Incident Handling Program”, Manualul șefului Statului Major al Forțelor Armate, J6.
-
Dave, P., (2013), „SQL – O carieră în criminalistica bazelor de date!”, Disponibil la http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, accesat la 2 ianuarie 2014.
-
Fowler, K., (2007), „Forensic Analysis of a SQL Server 2005 Database Server”, Disponibil la https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, accesat la 2 ianuarie 2014.
-
Han, D.R., (2012), „SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, disponibil la www.isaca.org/journal, accesat la data de 05 ianuarie 2014
-
Hunt, R., (2012), „New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), „Tehnologia informației – Tehnici de securitate – Cod de practică pentru managementul securității informației”, disponibil la http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, accesat la 10 ianuarie 2014.
-
ISO1799, (2005), „ISO 17799 Information and Resource Portal”, Disponibil la http://17799.denialinfo.com/ , Accesat la 10 ianuarie 2014.
-
Kendall, K,(2007), „Practical Malware Analysis”, Mandiant Intelligent Information Security, Disponibil la http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accesat la 10 ianuarie 2014.
-
Kent, K, și Grance, T., (2006), „Guide to Integrating Forensic Techniques into Incident Response” (Ghid de integrare a tehnicilor criminalistice în răspunsul la incidente), Disponibil la adresa: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, accesat la 13 ianuarie 2014.
-
Kent, K., et.al., (2006). „Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., and Adane, D.S., (2011), „Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., and Heiser, J.G. (2010), „Computer Forensics: Incident Response Essentials”, ediția a 14-a, Indianapolis: Pearson Education
-
Microsoft, (2013), „Windows Registry Information for Advanced Users” Disponibil la https://support.microsoft.com/kb/256986, Accesat la 10 ianuarie 2014
-
Nelson, B., et. al., (2008), „Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdfhttp://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), „Forensics of a Windows System”, Roche.
-
SANS, (2010), „Integrating Forensic Investigation Methodology into eDiscovery” (Integrarea metodologiei de investigare criminalistică în eDiscovery), disponibil la:
-
Shiner, D.L.D., și Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), „NIST Security Self-Assessment Guide for Information Technology Systems” Disponibil la http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, accesat la 9 ianuarie 2014.
-
US-CERT, (2012), „Computer Forensics”, Disponibil la http://www.us-cert.gov/reading-room/forensics.pdf, accesat la 30 decembrie 2013.
-
Venter, J. P., (2006), „Process Flows for Cyber Forensics Training and Operations”, Disponibil la http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, accesat la 30 decembrie 2013.
-
Wong, L.W.,(2006) „Forensic Analysis of the Windows Registry” Disponibil la http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf, accesat la 10 ianuarie 2014
SANS, (2010), „Integrating Forensic Investigation Methodology into eDiscovery”: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, accesat la 13 ianuarie 2014.
.