Научный метод сбора и изучения информации о прошлом

Размещено на http://www.allbest.ru/

Оглавление

форензика компьютерный инцидент

Введение

1. Форензика: понятие и общие сведения

2. Предустановленный системный инструментарий для расследования инцидентов

3. Свободно распространяемый инструментарий для расследования инцидентов

4. Методика и описание стенда исследования средств расследования компьютерных инцидентов

Введение

Как сказал Натан Ротшильд: «Тот, кто владеет информацией - владеет миром» и был абсолютно прав, это высказывание особенно актуально в наши дни, дни всеобщей компьютеризации, переноса вычислительных инфраструктур в «облака» и зависимости от новых технологий. Сегодня, знать, понимать инфраструктуру и своевременно реагировать на возникающие проблемы внутри компании, сложная задача даже для матерого системного администратора. Решение данных задач порой не по силам целым техническим отделам. Это и понятно: как управлять территориально распределенной инфраструктурой целиком, когда инженер находится в тысяче километров от компьютера? Для крупных мировых корпораций создание отдела технической поддержки в каждой локации несет в себе немалые убытки. Выходом из ситуации стали крупные ИТ корпорации предоставляющие аутсорс услуги, поддерживая всю структуру целиком, это все же дешевле создания отделов. Команды этих компаний могут даже находиться в разных странах и на разных континентах. Единицей измерения технических неполадок является инцидент (или тикет). Так вот, одним из самых важных нюансов работы с тикетами является подробное чтение логов.

1. «Форензика»: понятие и общие сведения

Наука форензика - научный метод сбора и изучения информации о прошлом. Это особенно важно в правоохранительных органах, где судебно-медицинская экспертиза выполняется в соответствии с действующим законодательством. Помимо криминалистики, форензика также реализуется и в других областях таких как астрономия, биология, геология, технические дисциплины. Само слово происходит от латинского forensis - «речь перед форумом». Вообще, термин «forensic science» расшифровывается как «судебная наука», а русское значение слова «форензика» обозначает скорее узконаправленную, компьютерную специфику. Она является наукой о выявлении и раскрытии компьютерных преступлений, исследования системных сбоев, об используемых инструментах, а также о способах получения доказательств проникновения злоумышленника и сбора информации. Предметами форензики являются:

Информационные технологии - возможность использования, как для предотвращения преступлений, так и для их совершения.

Методы изучения прикладного программного обеспечения.

Инструменты совершения киберпреступлений; последствия, личность злоумышленника и его следы, оставленные им.

Практики компьютерных преступлений (следственная, судебная и оперативная).

Методы исследования работы системы.

К сожалению, развитие вычислительной техники не способствует столь быстрому развитию пользовательских знаний в целом. В настоящий момент принципами информационных технологий предполагается отчуждение юзера от принципов взаимодействия вычислительных узлов, соответственно, когда требуются определенные познания в форензике, требуется вызвать специалиста, собственно обладающего этими знаниями, потому что исследование предполагает проникновение в суть процессов. Рассмотрим ситуацию, где нам нужно исследовать следы посещения какого-либо веб сайта. Не специалист сделает вывод, что необходимо всего лишь просмотреть логи на клиенте и сервере, на котором этот сайт расположен. И это будет его главной ошибкой, поскольку он не учитывает обращение компьютера пользователя к DNS-серверу, который впоследствии рекурсирует запрос на другой DNS-сервер. Не стоит забывать, что следы действий злоумышленника легко подделать, но данное действие также может быть прослежено специалистом в данной области.

Что касается влияния форензики на преступность в целом, то оно возможно несколькими путями:

Стремительное развитие информационных технологий предполагает в будущем появление искусственного разума, где проявят себя новые отношения и новые преступления.

Еще недавно достижения информационных технологий не охранялись совсем, сейчас ситуация постепенно меняется, например, доменное имя на сегодняшний день защищено и является объектом интеллектуальной собственности.

Настало время, когда изменились принципы и способы мошенничества, но суть осталась одна; некоторые типы мошенничества сохранили суть, но переместились из реального пространства в виртуальное.

2. Предустановленный системный инструментарий для расследования инцидентов

Важнейшей системной утилитой для расследования инцидентов является встроенная программа Event Viewer (Рис. 1), компонент систем семейства Windows NT (в системе Windows Vista инструмент был полностью переработан). Впервые появившаяся в 1993 году как централизованная служба просмотра событий позволяла выявлять причину сбоев при установке или удалении софта. Event viewer использует идентификаторы событий, чтобы определить идентифицируемые события. Например, при сбое аутентификации пользователя система генерирует событие с кодом 672. Начиная с Windows NT версии 4 добавлена поддержка определения источника событий - то есть приложения, которое сотворило событие, а также выполнения создания резервных копий журналов. Версии Windows, основанные на ядре Windows NT 6 более не ограничены размером журнального файла в 300 мегабайт. Обычно, лог файлы регистрируются в директорию C:\Windows\System32\winevt\Logs\. Запустить сам журнал можно нажав на кнопку старт в левом нижнем углу, набрав “eventvwr” и нажав клавишу Enter.

Рис. 1. Интерфейс Event Viewer

Начиная с Windows Vista, Event viewer переделан под практически заново созданную архитектуру трассировки событий. Он был переписан вокруг использования структурированной XML записи для более качественного сбора логов, чтобы помочь инженерам технической поддержки и разработчикам работать более эффективно. XML представление можно открыть выбрав вкладку «Сведения» в свойствах события. Кроме того, есть возможность исследовать потенциальные события: их структуру, конфигурацию и зрегестрированные паблишеры событий использую утилиту «wevtutil». События публикуются асинхронно для того, чтобы уменьшить нагрузку на производительность системы. Пользователи имеют возможность отсортировывать логи из пула посредством выражения XPath. Используя его как язык запросов можно просматривать журналы только определенного компонента в системе. В реестре же записи журнала событий содержатся в пути KEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog в котором в свою очередь содержатся ключи:

Файл журнала системы - для драйверов устройств.

Файл журнала по безопасности - для системы аудита.

Файл журнала приложений - для служб и приложений.

Также есть возможность создавать свои дополнительные журналы с отдельными ключами, однако события должны непосредственно принадлежать к одному из предопределенных типов:

Успешный аудит - события, которые срабатывают при успешном обращении к ресурсам. Пример: вход в систему.

Сорванный аудит - события, происходящие при неуспешном обращении к ресурсам. Пример: попытка подключить сетевую папку не имея соответствующих прав доступа.

Обычная ошибка - события, указывающие на существенные проблемы, приводящие к потере данных или функциональности. Пример: невозможность загрузить службу при старте системы.

Предупреждение - события, указывающие на незначительные проблемы, где оперативное вмешательство не требуется, но приведет к дисфункции в будущем. Пример: недостаток свободного места на жестком диске.

Системные администраторы могут просматривать и чистить журнал, однако поделить права на чистку и просмотр невозможно. Соответственно, при взломе профиля администратора данные могут быть изменены. Решить задачу защиты логов поможет создание сервера удаленного журнала, доступ к которому возможен исключительно из командной строки. Еще одна уязвимость журналов состоит в том, что при переполнении он переписывает старые записи, а это значит, что злоумышленник может целенаправленно переполнить файл своими данными путем создания большого числа новых событий. От этого достаточно легко защититься расширением максимального размера журнала. Конечно, также можно отключить переписывание старых записей, но это может вызвать сбой.

Есть несколько примеров, когда чиновники Министерства связи указывали всем мобильным операторам «собирать и хранить логи не менее трех лет». Однако практически никто из них не может сказать, что за логи они требуют сохранить. Поскольку в журнальный файл можно записать любую информацию, следует уточнить, что подразумевает

3. Свободно распространяемый инструментарий для расследования инцидентов

В этой части мы рассмотрим свободно распространяемое программное обеспечение (то есть бесплатные и доступные для свободного скачивания и установки) для чтения журналов и расследования инцидентов.

Event Log Explorer 3.2.

Свободное ПО для некоммерческого использования с простым интерфейсом. (Рис. 2)

Рис 2. Интерфейс Event Log Explorer

4. Методика и описание стенда исследования средств расследования компьютерных инцидентов

За основу возьмем общенаучный метод - наблюдение. Исходя из того, что объектом исследования посредством чтения логов является информация, можно сказать, что все органы чувств - будь то зрение, слух или осязание - не в могут воспринять компьютерную информацию непосредственно. В то же время, вокруг много объектов, которые не воспринимаются человеком напрямую - слухом, взглядом и тактильными ощущениями. Для того чтобы видеть «невидимое» существует огромное количество инструментов на выбор - рентген, телескоп, интерферометр и т.д. С помощью этих «посредников» человек наблюдает и изучает то, что невозможно увидеть глазом. Дело лишь в принципа действия таких посредников.

В случае с компьютерной информацией роль этих посредников настолько велика, что качество начинает преобладать над количеством. В компьютерной сфере практически невозможно знать каждого «в лицо». Также сложно представить, насколько видоизменилась входящая информация в конце, когда мы уже видим ее своими глазами.

Представьте, вы специалист по криминалистике, и вы обнаружили отпечатки обуви на месте преступления. Эти отпечатки вы воспринимаете непосредственно, своими глазами. Однако если для того чтобы увидеть следы вам нужны очки или линзы, вы сразу понимаете, как их использовать, поскольку принцип действия прост и ясен. Соответственно вы как специалист вместе с понятыми заносите улику в дело прекрасно понимая механизм появления следа, то есть сомнений что это след преступника не остается.

В мире компьютерной информации все по-другому.

Предположим, что вы находясь на «месте происшествия», если быть точнее на диске сервера, в журнале событий приметили лог. Своими органами чувств вы это не воспринимаете непосредственно. Для того чтобы интерпретировать и увидеть эту запись, необходимо посредничество технических средств, таких как:

Процессор, оперативная память, чипсет.

Внутренняя прошивка устройств.

BIOS.

Операционная система.

Драйвера подключенных к системе устройств.

Программа для просмотра файла.

Драйвера экрана.

Шрифты.

Монитор, клавиатура, мышка и т.д.

Теперь можно понять насколько много посредников в восприятии компьютерной информации человеком. Все вышеперечисленное от разных производителей. Стандарты разные и каждый день обновляются. Причем для некоторых из устройств описание не предусмотрено. Можно сделать вывод, что ни в одном из устройств нельзя быть уверенным, поскольку каждый злоумышленник знает об уязвимостях, дырах и багах в программном обеспечении. Итак, отличительной чертой наблюдения за компьютерной информацией является дифференцированость, например, изображения и объектом за которым выполняется наблюдение. Это значит, что разница между тем, что мы видим на экране и целью, представляющей конкретный интерес может быть не просто велика, они могут быть совершенно разными объектами.

Для исследования инцидентов посредством журнала событий нам понадобится развернутая тестовая структура. Развернута она будет посредством установки виртуальной машины, за основу возьмем оболочку VMware Workstation, куда установим неактивированую версию системы Microsoft Windows Server 2012, процесс установки системы мы опустим, поскольку это не является целью нашей работы. В дополнении к Server 2012 поставим также 2 копии неактивированого Windows 8 (64-битную версию).

Размещено на Allbest.ru