1 / 39

Obvladovanje varnostnih incidentov Enostavno dosegljiva in priročna orodja pri preiskovanju varnostnih incidentov v Wind

Obvladovanje varnostnih incidentov Enostavno dosegljiva in priročna orodja pri preiskovanju varnostnih incidentov v Windows okolju. Miro Javornik Ljubljana 2004. Vsebina predavanja. Varnostni incidenti v informacijski tehnologiji Obvladovanje varnostnih incidentov Tehnični pripomočki

chaney
Download Presentation

Obvladovanje varnostnih incidentov Enostavno dosegljiva in priročna orodja pri preiskovanju varnostnih incidentov v Wind

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Obvladovanje varnostnih incidentovEnostavno dosegljiva in priročna orodja pri preiskovanju varnostnih incidentov v Windows okolju Miro Javornik Ljubljana 2004

  2. Vsebina predavanja • Varnostni incidenti v informacijski tehnologiji • Obvladovanje varnostnih incidentov • Tehnični pripomočki • Priročna orodja v Windows okolju • Zaključek • Vprašanja, odgovori, razprava

  3. Definicija incidenta • SANS Institute • škodljiv ali potencialno škodljiv dogodek v IS • CERT /CC • dejanje neposredne ali posredne kršitve varnostne politike • Foundstone Inc. • vsako nezakonito, nepooblaščeno ali nesprejemljivo dejanje, ki se prizadane računalniški sistem ali računalniško mrežo Čatež 2004

  4. Primeri incidentov • uspešni ali neuspešni poskusi pridobiti nepooblaščen dostop do sistemov in podatkov • neželena prekinitev ali zaustavitev delovanja (DOS, virusi, črvi) • kraja zaupnih ali občutljivih podatkov (spyware,...) • nepooblaščeno izkoriščanje sistemov za obdelavo in shranjevanje podatkov Čatež 2004

  5. Primeri incidentov 2 • hramba in posredovanje prepovedanih podatkov (otroška pornografija, ...) • nepooblaščeno spreminjanje (strojne in prog. opreme) • nadlegovanje (spam) • napadi teroristov • napake zaposlenih • ... Čatež 2004

  6. 1. priprava 6. analiza odziva 2. prepoznava življenjski cikel 5. normalno stanje 3. omejitev 4. odstranitev vzroka Obvladovanje incidenta Čatež 2004

  7. Konkretne naloge • Hitra in učinkovita zaznava incidenta • Pravočasen in pravilen odziv na konkreten incident • Hitra in uspešna razrešitev incidenta ( tudi obnova in dopolnjeni varnostni ukrepi) • Morebitne akcije proti storilcem • Analiza odziva

  8. Zbiranje in analiziranje podatkov • Za prepoznavo in zaznavo incidentov • Za pripravo pravilnega odziva • Za razrešitev incidenta in dopolnitev varnostnih mer • Kot dokaznega gradiva za nadaljnje ukrepe proti storilcem

  9. Tehnični pripomočki Predvsem: • Za hitro in učinkovito zbiranje podatkov • Za analizo zbranih podatkov • Za zagotavljanje materialnih dokazov na neoporečen način Faze uporabe: • Priprava • Prepoznava • Razrešitev (akcije proti storilcem)

  10. Vrste tehničnih pripomočkov Po vrsti: • Profesionalna orodja • Dostopna priročna orodja Po namenu: • Za preiskovanje v živo • Za podrobno analizo podatkov V nadaljevanju omejitev na dostopna priročna orodja predvsem za preiskovanje v živo - uporabna predvsem pri zaznavi in prepoznavi incidentov.

  11. Izbira orodij Pri preiskavi potencialnih incidentov: • Uporaba ukazov in programov, ki so neoporečni • Uporaba ukazov in programov, ki ne uničijo dokazov • Uporaba ukazov in programov, ki zbirajo podatke na neoporečen način

  12. Priprava orodij • Skrbna izbira potrebnih programov za zbiranje podatkov na neoporečen način • Priprava ukaznih skript za hitro in učinkovito zbiranje podatkov • Zapis izbranih programov in pripravljenih ukaznih skript na zaščiten medij (CD-ROM ali diskete)

  13. Vrste orodij za zbiranje • podatkov, ki so prisotni samo omejen čas • podatkov o delujočem sistemu • podatkov iz sistemskih logov • podatkov iz Windows Registry • podatkov datotečnega sistema • podatkov iz omrežja

  14. Ukazno okolje cmd.exe vgrajen program za izvajanje vrstičnih ukazov za izvajanje ukaznih skript, za zabeležko datumske in časovne znamke, za izpis seznama datotek na imenikih in njihovih atributov time /t date /t dir /t:a /o:d /a /s c:\winnt

  15. Zbiranje časovno omejenih podatkov nbtstat vgrajen ukaz -za seznam obstoječih in zadnjih povezav preko NetBIOS protokola (lahko tudi NetBIOS preko TCP/IP) nbtstat –c (izpis cache-ja) netstat vgrajen ukaz – za prikaz TCP/IP povezav, oddaljenih IP naslovov netstat –an (aktivne IP povezave, oddaljeni IP naslovi, odprti porti) netstat –o (aktivne povezave, številke procesov)

  16. nbtstat

  17. netstat

  18. arp Vgrajen ukaz • Fizični MAC naslovi in IP naslovi s katerimi je potekla komunikacija v zadnji minuti

  19. ipconfig Vgrajen ukaz – prikaz konfiguracije IP protokola

  20. fport Seznam procesov z odprtimi TCP/IP porti (www.foundstone.com)

  21. pslist Seznam aktivnih procesov (www.sysinternals.com)

  22. listdlls Seznam vseh delujočih procesov, ukaznih vrstic in uporabljenih dinamičnih knjižnic (www.sysinternals.com)

  23. Še o trenutnem stanju Informacije o sistemu psinfo, o odprtih datotekah psfile, o prijavljenih uporabnikih psloggedon, informacije o procesih psservice

  24. Podrobnejše analize auditpol (NTRK) veljavne audit politike

  25. Registry reg (NTRK) pregled posameznih ključev regdump (NTRK) izvoz v tekstovno datoteko

  26. Sistemski logi dumpel (NTRK) izvoz event logov NTlast (www.foundstone.com) zadnje uspešne/neuspešne prijave

  27. Datotečni sistem afind (www.foundstone.com) za datoteke, do katerih se je dostopalo v opredeljenem časovnem intervalu

  28. NTFS datotečni sistem sfind (www.foundstone.com) datoteke skrite v NTFS dodatnih datotečnih streamih

  29. NTFS nad. Datoteke skrite v NTFS je mogoče uporabljati in izvajati.

  30. Shranjevanje podatkov Taka izbira, da se sistem čim manj kompromitira: • Diskete • Disk preko lokalne mreže • USB pomnilniške enote Če je podatkov več je optimalna varianta le prenos preko mreže na disk neoporečnega sistema

  31. Prenos preko mreže netcat (www.atstake.com/research/tools/network_utilities) prenaša podatke v nešifrirani obliki cryptcat (www.sourceforge.net/project/cryptcat) prenaša podatke v šifrirani obliki

  32. Zagotavljanje integritete md5sum (www.cygnus.com) in md5deep (md5deep@jessekornblum.com) za izračun in verifikacijo kontrolne kode po MD5 algoritmu (RFC1321). Kontrolno kodo se izračunava in zapiše tako za orodja, kot tudi za zbrane podatke.

  33. Zahtevnejši postopki • Posnetek pomnilniške vsebine (uporabniškega – aplikacijskega pomnilnika, ali sistemskega pomnilnika): userdump iz Microsoft OEM Support Tools package, verzija GNU-jevega dd (Avtor George Garner) • Bitni posnetek diskovnega medija (Unix,Linux: dd, dcfldd, Windows: profesionalna orodja Safeback, EnCase)

  34. Zbiranje podatkov v omrežju • IDS in IPS sistemi (logi) • Namenska delovna postaja s primerno mrežno kartico in programsko opremo • Redko Windows, raje Linux • Spremljanje in beleženje prometa: windump (Window verzija tcpdump)

  35. Zaključek • Orodja so enostavno dosegljiva, poceni ali zastonj • Njihova uporaba ni vedno najbolj enostavna in zahteva strokovna znanja in izkušnje • Interpretacija zbranih podatkov je zahtevna • Pri večjih sistemih velja razmisliti o uporabniško bolj prijaznih profesionalnih rešitvah

  36. ? Miro Javornik, CISA

  37. Namenska profesionalna orodja • Guidance Software, EnCase (Forensic/ Enterprise Edition): • Examiner (strežniški analitični del) • SAFE (zagotavljanje varnosti uporabe, prenosa, logi) • Servlet (klient) • Vogon International, Forensic Systems • Disk Imaging, analiza

More Related