Расследование компьютерных инцидентов в Windows системах

Дата: 18.07.2006
Источник: www.Crime-research.ru
Автор: Эвгений Завальнюк, к.т.н


Відомо, що суб'єктами вчинення зловживань з використанням інформаційних технологій є як самі участники - співробітники фінансово-господарських структур, так і сторонні особи, що не працюють у підприємницьких чи банківських структурах - зловмисники. Як показує статистика, останні у більшості випадків працюють самостійно, за власною ініціативою, але не виключається також їх змова з окремими працівниками кредитно-фінансових установ.


У думках підприємців, криптографів, програмістів з'явилася стержньова ідея нової інформаційної епохи - "електронні гроші". Електронні гроші, що не знають меж і податків, які можна зберігати на оптичних дисках. "Пятицентовик" з 64-х біт може стати одиницею добробуту.

Утримувачі інформаційних ресурсів теж не втрачають часу даремно. Про кожного з нас де-небудь і що-небудь записане. Ми одночасно платники податків, виборці президента, власники рухомості і нерухомості, володарі телефонних апаратів, пацієнти і, на кінець, просто покупці. Всі ці ресурси щодня систематизуються, класифікуються і, зрештою, перетворюються у гігантських розмірів бази даних. Потім виникає потреба цими даними обмінюватися з вищестоящими і нижчестоячими організаціями-користувачами, а також із зацікавленими в цій інформації споживачами.

Можна тільки радіти швидкому впровадженню нових, прогресивних інформаційних технологій, але тільки після відповіді на питання: "Хто і як протистоятиме недобрим діям "професійних" користувачів цих технологій?" Питання, як правило, веде за собою наперед підготовлену відповідь: "Фахівці з комп'ютерної безпеки!" На жаль, в Україні їх кількість і якість поки що невелика. До того ж відсутні необхідні умови створення безпечних мереж передачі даних.

Разом з тим по той бік захисного бар'єру росте і міцніє рух хакерів зі своєю етикою і психологією. "Хакери - це найбільша і неминуча небезпека, викликана технологічними зрушеннями. Це дуже розумні, по-своєму талановиті молоді люди" [1]. Відноситися до хакерів без жодної іронії слід з повагою. По-перше, тому, що вони витрачають негативний заряд енергії найчастіше на розважальні нешкідливі речі. По-друге, тому, що вони є рушійною силою розвитку комп'ютерної безпеки. І по-третє, тому, що існує вирогідність участі хакера, що подорослішав, в суспільно-корисній діяльності.

Чим раніше хакер усвідомлює необхідність заробляти своєю працею кошти для існування, тим меншу шкоду він встигне нанести. На жаль, колишні хакери важко адаптуються до реалій сучасного економічного життя. Маючи нерідко глибокі пізнання в системному програмуванні, вони абсолютно не здатні створювати цілісні програмні продукти. Переважна більшість ще з школи стають надто розвинутими користувачами готового програмного забезпечення, нерідко підкреслюючи свій рівень тільки номером останньої версії чужого програмного продукту. Тоді як самі встигли дослідити можливості попередньої версії ледве на одну третину.

Проте хакерів слід не тільки поважати - їх слід серйозно побоюватися. Особливо - хакерів вітчизняного походження. На перший погляд вони не кращі і не гірші західних. Але це тільки на перший погляд. Могутній поштовх освоєння нових технологій дав той факт, що величезна кількість програмного забезпечення з яким можна було ознайомитися "живцем", було доступне на піратських компакт-дисках.
З цієї точки зору загальноприйнятий у світі термін "офіцер безпеки" набуває іншого сенсу - інформаційного. Тільки тоді, коли за захист кожної корпоративної мережі відповідатиме досвідчений офіцер безпеки, що має в своєму розпорядженні необхідні інструменти захисту, можна буде говорити про адекватні заходи по відношенню до можливих інцидентів.

Однак експертиза реального комп`ютерного інциденту вимагає деякого часу не тільки на пошук відповідних фахівців, але й на її виробництво, а при дослідженні часто важливим чинником, що дозволяє зберегти необхідну доказову інформацію, є оперативність. Саме тому дослідження комп'ютерних інцидентів доводитися проводити тими силами, які існують у даний момент. У цьому випадку дослідник сам не застрахований від помилок [2].

Поставлена проблема має два аспекти: загальні помилки, що допускаються відповідними співробітниками відділів захисту інформації при розслідуванні інцидентів, пов'язаніх з комп'ютерами і захист (блокування або знищення) інформації, встановленний на комп'ютерах їх безпосередніми користувачами або зловмисником.

Розглянемо деякі типові помилки, які часто трапляються при проведенні дослідження інцидентів у відношенні до комп'ютерної інформації.

Помилка 1. Завантаження комп'ютера з ОС, яка на ньому встановлена, протягом дослідження.

Перше та основне правило, яке неухильно повинне виконуватися: не допускається завантаження (перезавантаження) такого комп'ютера з використанням операційної системи самого комп'ютера!

Таке правило пояснюється досить просто: зловмиснику не складає особливих труднощів установити на комп’ютері програму для знищення інформації на жорсткому чи гнучкому магнітному диску, записавши таку “міну” через модифікацію операційної системи. Після того як дані і сама руйнуюча програма знищені, ніхто не зможе вирогідно сказати, чи був комп'ютер-жертва спеціально оснащений такими програмами, чи це результат недбалості при дослідженні? Тому перш за все необхідно впевнетись через настройки BIOS та аппаратну конфігурацію комп'ютера щодо поточного пріорітету електронних носіїв для завантаження ОС на досліджуванному комп'ютері.

Помилка 2. Відсутність перевірки комп'ютера на наявність вірусів і програмних закладок.

Для перевірки комп’ютера на наявність вірусів та програмних закладок (програм-шпигунів, перехоплювачів натискань на клавіши клавіатури тощо), необхідно виконувати завантаження комп’ютера не з операційної системи яка знаходиться в ньому, а з свого заздалегідь підготовленого носія. До речі, такій перевірці підлягають усі носії інформації – дискети, магнітооптичні диски та інші носії інформації, які належать користувачеві цього комп'ютера.

Для підвищення достовірності результатів перевірки щодо відсутності програмних закладок необхідно використовувати поряд з антивірусним ще й спеціалізоване ПЗ [17]: Lavasoft Ad-Aware, Xcleaner , Anti-keylogger.

Бажано для перевірки використувати декілька версій програмного забезпечення одного типу від різних виробників ПЗ з актуальними базами вразливостей.

Помилка 3. Допуск до комп’ютерa користувача цього комп'ютера при дослідженні.

Серйозною помілкою є допуск до досліджуваного комп'ютера його користувача для допомоги при його дослідженні. Сам користувач з нерозуміння ситуації що склалася може спровокувати процес безворотнього знищення (пошкодження) інформації шляхом виконання непідозрілих, на перший погляд, дій, наприклад, перезавантаження ОС комп'ютера. Це особливо стосується випадків при розслідуванні діяльності пов'язаною з Інтернетом та відсутністю або очищенням з "поважних" причин журналів роботи користувача з ПЗ "Internet Explorer" та "Outlook Express", або подібного.

Помилка 4. Не відключення комп'ютера, який піддано атаці, від інформаційної мережі фізично.

Робота в режимі одного монопольного користувача на Windows-системі не дасть можливості зловмиснику і шкідливим процесам діставати доступ до машини або змінювати яким-небудь чином їй стан під час дослідження.

Якщо не від'єднати машину від мережі, може трапитися так, що зловмисник відмінятиме дії, які робляться дослідником на машині.

Помилка 5. Не прийняття можливих заходів для зняття образу жорсткого диску атакованного комп'ютера.

Перед тим, як починати аналіз інциденту, потрібно зробити повний бекап атакованої системи. Можливо в майбутньому знадобиться повернутися до цих файлів. Створення “низькорівневої” резервної копії є дуже важливим процесом, оскільки цілком імовірно, що знадобиться повернути атаковану машину в той стан, в якому вона перебувала саме в мить, коли вперше було помічено несанкційоноване вторгнення. Також, файли можуть знадобиться для офіційного розслідування. Помітьте, позначте і датуйте резервну копію і бережіть її в безпечному для зберігання даних місці.

Коректні дії по усуненню наслідків інцидентів в комп'ютерній безпеці стоять на другому місці по важливості, поступаючись лише превентивним заходам по запобіганню цим інцидентам. Неправильна обробка, або збір наявної інформації може завдати непоправної шкоди дослідженню. Дослідники повинні добре знати, яку інформацію вони мають намір збирати, а також які інструменти вони можуть використовувати і який вплив зроблять ці інструменти на саму систему. Бажано, щоб цей вплив був нульовим!

Повний цикл комп'ютерного розслідування проводиться в шість етапів [4, 11]:
1– отримання оперативної інформації ("живої відповіді") системи;
2 - дублювання даних;
3 – аналіз отриманих даних;
4 - складання звіту і створення рекомендацій;
5 – заходи щодо усунення наслідків даного інциденту;
6 – заходи щодо запобігання подібних інциндентів в майбутньому.

Дослідники припускають, що не кожна несанкціонована подія вимагає повного дослідження. Зрозуміло, що кожен інцидент вимагає різних дій від дослідників. Існують певні типи інформації, які можуть бути зібрані і швидко...

Добавить комментарий

Всего 0 комментариев