Ktoś był w moim komputerze!

Jakie kroki należy podjąć, aby zebrać możliwie dużo informacji na temat naruszenia bezpieczeństwa w naszym systemie, by potem poddać je szczegółowej analizie. Omówienie samej procedury analizowania śladów to temat na potężne tomisko. Skupmy się na systemach Windows i Linux.

Jakie kroki należy podjąć, aby zebrać możliwie dużo informacji na temat naruszenia bezpieczeństwa w naszym systemie, by potem poddać je szczegółowej analizie. Omówienie samej procedury analizowania śladów to temat na potężne tomisko. Skupmy się na systemach Windows i .

Jest poniedziałek, godzina 7.00. Jedziesz do pracy i jesteś pewny, że czeka Cię nudny i bezbarwny dzień. Tak naprawdę myślisz o sobotnio-niedzielnym wyjeździe w góry, który niedawno dobiegł końca. Jeszcze zaspany, z kubkiem dymiącej kawy w ręce wchodzisz do swojego pokoju. Siadasz przed komputerem, logujesz się i jakoś długo to wszystko trwa. Myślisz - eee, pewnie Windows tak ma. Ciągle myśląc o udanym wyjeździe, chcesz zmienić ikonę przy użytkowniku na coś bliższego przyrodzie. Otwierasz panel sterowania/użytkownicy i hasła i... okazuje się, że ni stąd ni zowąd pojawił się użytkownik Own3d i, co więcej, znajduje się w grupie administratorów!

To tylko przykład tego, jak może wyglądać dość przerażające odkrycie, że ktoś buszował w naszym systemie bez wcześniejszego uzgodnienia tego z nami. Bardzo często jednak oznaki włamania nie są tak oczywiste, a doświadczony intruz niemalże na pewno nie pozostawi dodanego przez siebie konta użytkownika. Bez wykorzystania odpowiednich narzędzi wykrycie wtargnięcia jest dla zwykłego użytkownika co najmniej trudne. My jednak nie jesteśmy zwykłymi użytkownikami i staramy się przykładać większą wagę do tego, co dzieje się z naszym komputerem.

Tylko spokój nas uratuje

Jeżeli zdarzy się, że ktoś włamie się do naszego komputera nie znaczy to jeszcze, że ponieśliśmy całkowitą klęskę. Mimo że mogły zostać poczynione pewne szkody, to jednak w dalszym ciągu możemy przynajmniej próbować dowiedzieć się, co się z komputerem stało, w jaki sposób doszło do włamania, no i być może, kto jest za to odpowiedzialny.

Zanim przystąpimy do poszukiwania odpowiedzi na powyższe pytania, weźmy głęboki oddech i pomyślmy, co i w jaki sposób chcemy osiągnąć. Od chwili kiedy zalogowaliśmy się do systemu do momentu odkrycia włamania zapewne upłynęło trochę czasu i wykonywaliśmy pewne działania. One spowodowały modyfikację wielu wartości, które są potencjalnym źródłem dowodowym. Teraz każdy następny krok powinien być w pełni przemyślany. Musimy wczuć się w rolę oficera prowadzącego śledztwo, bo przed nami nic innego, jak tylko właśnie śledztwo komputerowe. Istnieje kilka zasad w zbieraniu śladów tzw. incydentu, których już na wstępie musimy bezwzględnie przestrzegać.

Po pierwsze - nigdy nie należy wpadać w panikę i działać pochopnie, pośpiech jest gorszy od bezczynności.

Po drugie - to, co będziemy robić, musimy dokumentować, będzie to potrzebne np. w razie chęci zgłoszenia naruszenia bezpieczeństwa do dostawcy internetowego lub organizacji ścigającej włamywaczy komputerowych (np. CERT).

Po trzecie - musimy być świadomi, z jakimi rodzajami śladów będziemy mieć do czynienia i skąd możemy je uzyskać.

Locard kontra haker

Ktoś był w moim komputerze!

6 faz postępowania wg instytutu SANS

Podstawowym prawem, jakie rządzi każdym miejscem zbrodni, jest tzw. zasada Edmonda Locarda, mówiąca o tym, że każdy, kto pojawia się na miejscu przestępstwa, pozostawia jakiś ślad, jednocześnie zabierając ze sobą inny. Naszym zadaniem jest z jednej strony niepozostawienie odcisków swojej działalności, a z drugiej - zebranie możliwie największej liczby oznak bytności sprawcy. Ku pokrzepieniu serc należy dodać, że panuje zgodność co do prawdziwości tezy, że nie ma zbrodni doskonałej. Włamywacz to też człowiek i w związku z tym na pewno popełnił jakiś błąd. Szanse uzyskania ciekawych informacji są zatem spore.

Jak w każdym śledztwie, tak i w tym, musimy najpierw ułożyć dokładny plan działania, a następnie starać się postępować zgodnie z nim. Oczywiście, zawsze może coś niespodziewanie wyskoczyć i będziemy zmuszeni go zmodyfikować. Taki plan powinien przynajmniej w zarysie istnieć już wcześniej. Tworzenie go w momencie wykrycia naruszenia bezpieczeństwa może spowodować, że pominiemy istotne szczegóły. Nie jesteśmy jednak pozostawieni samym sobie i nie ma konieczności wymyślania wszystkiego samemu.

Instytut SANS - organizacja zajmująca się badaniem zagrożeń teleinformatycznych - opracował plan zawierający 6 faz, według których powinno się postępować (patrz rys.). Nie ma znaczenia czy ofiarą ataku jest nasz komputer w domu, czy serwer korporacyjny. Jednakże nie należy sztywno trzymać się przyjętych tam wytycznych. Musimy zdać sobie sprawę, że SANS układając listę kroków brał pod uwagę duże sieci korporacyjne. Niemniej plan ten pomoże rozjaśnić i usystematyzować kolejne działania.

OD "A" do "B"

Ktoś był w moim komputerze!

Niezbędnik: narzędzia programowe

A zatem do dzieła. Nie wiemy jeszcze co się stało. Coś jest nie w porządku, a nasz system zachowuje się dziwnie. Chcemy ustalić z czym możemy mieć do czynienia. Czy jest to włamanie do naszej maszyny? A może to część ataku typu DOS lub DDOS? Może staliśmy się elementem bot netu, a może to zwyczajnie błędne działanie jakiejś aplikacji? Czas na przygotowanie do akcji.

Musimy zdecydować - czy próbujemy prowadzić śledztwo samemu, czy od razu oddajemy je w ręce specjalistów? Jeżeli jest to nasz domowy komputer, to w zasadzie jesteśmy zdani na siebie. Jeżeli jest to system naszej firmy, mamy znacznie większe możliwości i możemy liczyć na pomoc z zewnątrz.

Niemniej i wówczas powinniśmy sami zebrać część informacji. Z kilku powodów. Po pierwsze, to my chcemy się dowiedzieć co się stało i przeważnie zależy nam na czasie. Nie będziemy mieli pożytku z niesprawnego systemu. Przekazanie systemu odwleka uzyskanie odpowiedzi na wiele tygodni, czasem miesięcy. Po drugie musimy mieć pewność, że podejrzane zachowanie systemu to faktycznie efekt włamania, a nie błąd oprogramowania. Wreszcie, nikt nie zna naszego systemu tak dobrze jak my sami. Wiemy, jakie procesy są na nim zazwyczaj uruchomione, jak działają poszczególne skrypty itd. Słowem - wiemy co jest normalnym zachowaniem.

A zatem próbujemy podjąć walkę samotnie. Może podczas zbierania śladów nasuną się jakieś podejrzenia. Jeżeli nie, zawsze możemy zwrócić się o pomoc np. do CERT-u. Czas więc na męską decyzję. Czy chcemy uzyskać więcej informacji ponosząc nieco większe ryzyko, czy zbieramy mniej danych, ale za to bez większego ryzyka?

Jeżeli chcemy stawić czoła wyzwaniu, będziemy działać na pracującym systemie w dalszym ciągu podłączonym do sieci (tzw. live system). Jeżeli wolimy zmniejszyć ryzyko, możemy pozbawić maszynę łączności ze światem i jednocześnie odciąć potencjalnego intruza od naszego systemu. Najlepiej dokonać tego przez odłączenie przewodu sieciowego od switcha, modemu lub innego urządzenia, które zapewnia nam łączność. Unikajmy odłączania czegokolwiek bezpośrednio od komputera - odpowiednio spreparowany przez włamywacza skrypt może wykryć odłączenie od sieci i np. uruchomić proces zamazywania zawartości dysku.

Jeżeli chcemy ograniczyć ryzyko do minimum, możemy zwyczajnie wyłączyć system. Wówczas będziemy prowadzili śledztwo post mortem. Nie bądźmy w takim przypadku dżentelmenami i po prostu wyłączmy zasilanie. Skorzystanie z typowej procedury zamykania systemu modyfikuje zawartość pliku wymiany, rejestru (Windows) i innych potencjalnych źródeł informacji. My jednak nie boimy się ryzyka i postaramy się uzyskać jak najwięcej danych.

Trwałe i ulotne

Bez względu na rodzaj systemu operacyjnego mamy do czynienia z dwoma rodzajami informacji - ulotnymi oraz względnie statycznymi. Ulotne szybko ulegają zmianom, a każde działanie w systemie wpływa na ich postać. Zaliczamy do nich przede wszystkim pamięć operacyjną, stan połączeń sieciowych, załadowane sterowniki, uruchomione usługi itp. Aby wyciągnąć możliwie dużo danych, właśnie od tych źródeł musimy zacząć. Jeżeli uda nam się pobrać z nich informacje, wówczas możemy z czystym sumieniem przejść do analizy "pośmiertnej". W tej fazie będziemy mieli do czynienia z informacjami statycznymi. Te zawierają pamięć masową systemu i odcięcie zasilania nie spowoduje utraty danych. Są nimi m.in. logi systemowe i aplikacyjne, system plików (w tym pliki o nieznanym przeznaczeniu mogące być np. botami IRC), cache przeglądarki internetowej, zawartość kosza, w większości przypadków zawartość rejestru systemowego Windows, "zaplanowane zadania" w Windows lub zawartość crona w Linuxie itp.

Warto jeszcze wspomnieć o kolejności zbierania śladów. Zasada jest taka, że zaczynamy od informacji ulotnych - począwszy od zawartości pamięci, następnie uruchomionych procesów, stanu połączeń sieciowych. Pobrawszy te dane, możemy przejść do działań post mortem.


TOP 200