Your SlideShare is downloading. ×
0
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
[ISSA] Incident Responce
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[ISSA] Incident Responce

850

Published on

Wojtek Wirkijowski

Wojtek Wirkijowski

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
850
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Reagowanie na incydenty Wojciech Wirkijowski ww@reconlab.com
  • 2. Agenda: ● wprowadzenie i definicje ● przygotowanie do reagowania na incydenty ● po wykryciu zdarzenia ● postępowanie z dowodami – Chain of custody Reagowanie na incydenty
  • 3. Źródła: ● Incident Response & Computer Forensics – K.Mandia, C. Prosise, M. Pepe ● „Logs in Incident Response” - A. Chuvakin ● www.sans.org ● www.incident-response.net Reagowanie na incydenty
  • 4. Czym jest incydent (w sensie informatycznym)? Każdą bezprawną, nieautoryzowaną lub nieakceptowalną akcją, która została dokonana przy użyciu komputera i/lub sieci komputerowej. Reagowanie na incydenty
  • 5. Przykłady: ● Kradzież tajemnicy handlowej ● Nieautoryzowane lub bezprawne wtargnięcie do systemów komputerowych ● Malwersacje ● Pornografia dziecięca ● Ataki DoS ● Naruszenie relacji biznesowych ● Wyłudzenia Reagowanie na incydenty
  • 6. Cele do osiągnięcia w reagowaniu na incydenty: ● Zapobieżenie bezładnej, nieskoordynowanej reakcji ● Potwierdzenie lub zaprzeczenie zaistnienia incydentu ● Ustanowienie kontroli nad poprawnym zbieraniem i ewidencjonowaniem dowodów ● Gromadzenie właściwych i trafnych informacji ● Ochrona prywatności ustanowionej przez prawo ● Minimalizacja zakłóceń w działaniach organizacji i działaniu systemów komputerowych Reagowanie na incydenty
  • 7. Cele do osiągnięcia w reagowaniu na incydenty – c.d. : ● Doprowadzenie do rozpoczęcia działań kryminalnych lub cywilnych wobec sprawcy/sprawców ● Dostarczenie dokładnych raportów i użytecznych rekomendacji ● Umożliwienie szybkiej detekcji i przeciwdziałania ● Minimalizacja ekspozycji i utraty danych ● Ochrona reputacji i zasobów organizacji ● Przygotowanie się/zapobieżenie podobnym sytuacjom w przyszłości Reagowanie na incydenty
  • 8. Reagowanie na incydenty
  • 9. Przygotowanie do działania w odpowiedzi na zdarzenia: ● Wprowadzenie zabezpieczeń typu host-base i network-base ● Szkolenia użytkowników ● Wdrożenie systemów ID (intrusion detection) ● Stworzenie mocnej kontroli dostępu ● Okresowe testowanie podatności systemów na zagrożenia ● Regularne archiwizowanie danych (kopie zapasowe) Reagowanie na incydenty
  • 10. Przygotowanie zespołu, który podejmie działania po zaistnieniu zdarzenia, w tym przygotowanie: ● sprzętu do przeprowadzenia śledztwa ● oprogramowania do przeprowadzenia śledztwa ● dokumentacji (formularzy) ● polityki i procedury postępowania na wypadek zdarzeń ● wyszkolenie i wyćwiczenie ludzi odpowiedzialnych za podjęcie działań pozdarzeniowych Reagowanie na incydenty
  • 11. Wykrywanie zdarzeń: Reagowanie na incydenty
  • 12. Przygotowanie do incident response w skrócie: ● Pojedyncze maszyny ● utworzenie sum kontrolnych dla krytycznych plików ● zwiększenie lub włączenie bezpiecznego logwania ● wdrożenie systemów zabezpieczeń host-side ● tworzenie kopii zapasowych ● edukacja użytkowników Reagowanie na incydenty
  • 13. Z warsztatów Confidence 2007 „Logs in Incident Response” Antona Chuvakina: Log analysis. Why NOT ● “Real hackers don’t get logged!” ☺ ● Why bother? No, really ... ● Too much data (>x0 GB per day) ● Too hard to do ● Is this device lying to me? ☺ ● No tools “that do it for you” ● – Or: tools too expensive ● What logs? We turned them off Reagowanie na incydenty
  • 14. Przygotowanie do incident response w skrócie: ● Sieć komputerowa ● wdrożenie firewalli i idsów (oczywiste) ● access-listy na routerach ● stworzenie topologii sieci (np. w Visio) ● szyfrowanie komunikacji ● wymaganie uwierzytelniania Reagowanie na incydenty
  • 15. Przygotowanie do incident response w skrócie: ● Stworzenie i wdrożenie polityk i procedur ● uwzględnienie czynników biznesowych ● uwzględnienie czynników prawnych ● uwzględnienie czynników polityki firmy ● uwzględnienie czynników technicznych Brak polityk i procedur: ● panika i początkowa reakcja równolegle ● przeciwdziałanie skutkom i śledztwo w tym samym czasie ● dwa kroki do przodu i dziesięć w tył Reagowanie na incydenty
  • 16. Sprzętowe minimum w reagowaniu na incydenty: ● komputer z: ● procesorem pentium 1GHz lub więcej ● minimum 256 MB RAM ● dyski IDE o dużej pojemności ● dyski SCSI o dużej pojemności ● karty i kontrolery SCSI ● szybki napęd optyczny CD/DVD RW ● kasetki do streamera ● dodatkowo: ● gniazda zasilające dla urządzeń peryferyjnych ● kable zasilające ● różnego typu przewody SCSI z terminatorami ● adaptery parallel-to-SCSI ● skrętkę UTP CAT 5 i huby/switche ● zasilanie awaryjne (UPS) Reagowanie na incydenty
  • 17. ● czyste płyty CD/DVD – 100 szt lub więcej ● etykiety (naklejki) na płyty ● marker do oznaczania płyt ● teczki biurowe wraz z etykietami ● instrukcje użytkownika dla posiadanego sprzętu ● kamerę cyfrową/aparat cyfrowy ● zamykane torebki/opakowania do zbierania dowodów ● drukarkę i papier Reagowanie na incydenty
  • 18. Ustanowienie zespołu odpowiedzialnego za przeprowadzenie postępowania pozdarzeniowego CIRT (Computer Incident Response Team): ● ustalenie misji zespołu ● stworzenie zespołu stałego lub powoływanego na czas dochodzenia ● wyznaczenie osób odpowiedzialnych i kierownika zespołu ● szkolenia i ćwiczenia Reagowanie na incydenty
  • 19. PO ZDARZENIU Reagowanie na incydenty
  • 20. Cele: ● natychmiastowe i efektywne podejmowanie decyzji ● jak najszybsze zebranie informacji w sposób zapewniający niepodważalność dowodów ● odpowiednia sklasyfikowanie zdarzenia ● szybkie poinformowanie osób odpowiedzialnych za wezwanie/zmobilizowanie zespołu CIRT Reagowanie na incydenty
  • 21. Reagowanie na incydenty
  • 22. Zapisywanie wszystkich niezbędnych informacji Lista czynności do wykonania w pierwszej kolejności: ● data i czas wykrycia lub rozpoczęcia zdarzenia ● dane kontaktowe osoby odbierającej zgłoszenie ● dane kontaktowe osoby zgłaszającej ● typ zdarzenia ● lokalizacja komputerów objętych zdarzeniem ● data pierwszego zauważenia sytuacji ● opis fizycznych zabezpieczeń w miejscach zdarzeń ● w jaki sposób wykryto zdarzenie ● kto miał dostęp do systemów po wykryciu incydentu ● kto miał fizyczny dostęp do systemów po wykryciu incydentu ● kto obecnie wie o incydencie Reagowanie na incydenty
  • 23. Lista czynności do wykonania w drugiej kolejności: ● Zgromadzenie danych - Szczegóły systemu ● marka i model systemu ● system operacyjny ● główny użytkownik(-cy) ● administrator systemu ● adres sieciowy lub IP ● nazwa sieciowa ● rodzaje połączeń (np. modem) ● krytyczne informacje znajdujące się w systemie Reagowanie na incydenty
  • 24. ● Dochodzenie: ● czy zdarzenie nadal trwa i postępuje ● czy niezbędne jest monitorowanie sieci ● czy system podłączony jest do internetu/sieci; jeśli nie to kto wydał polecenie odłączenia systemu i kiedy będzie podłączony z powrotem ● czy istnieją kopie zapasowe ● jakie kroki przeciwdziałania zostały już podjęte ● czy zebrane informacje są przechowywane w bezpieczny zapobiegający sfałszowaniu sposób Reagowanie na incydenty
  • 25. Narzędzia w incident response: ● narzędzia dla różnych systemów operacyjnych ● opisanie i oznaczenie nośników zawierających narzędzia ● sprawdzenie zależności ● stworzenie sum kontrolnych dla narzędzi ● zabezpieczenie przed zapisem nośników z programami narzędziowymi ● stosowanie narzędzi sprawdzonych i uznanych przez środowisko specjalistów (prawo) ● korzystanie tylko z zaufanych kopii Reagowanie na incydenty
  • 26. Zebranie ulotnych danych: ● uruchomienie zaufanej powłoki (cmd.exe, bash) ● zapisanie czasu i daty systemowej ● sprawdzenie kto jest zalogowany do systemu ● zapisanie modyfikacji, stworzenia i dostępu do wszystkich plików ● sprawdzenie otwartych portów sieciowych (netstat, Fport) ● wylistowanie wszystkich uruchomionych procesów ● wylistowanie wszystkich połączeń ● zapisanie czasu i daty systemowej (!!! drugi raz!!!) Reagowanie na incydenty
  • 27. Zebranie ulotnych danych c.d.: ● udokumentowanie wszystkich wydanych poleceń (doskey /history, .bash_history, script) Najlepszym rozwiązaniem jest wykonanie wszystkich powyższych kroków poprzez wcześniej przygotowany skrypt (.bat, .sh). Zapobiegnie to pomyłkom, skróci znacząco czas śledztwa i zwiększy wiarygodność zebranych danych. Reagowanie na incydenty
  • 28. Zebranie innych ważnych danych: ● logi ● rejestry/pliki konfiguracyjne ● uzyskanie haseł systemowych ● zdumpowanie pamięci RAM (userdump.exe, zmodyfikowane dd) SUMY KONTROLNE!!! Reagowanie na incydenty
  • 29. Rootkity: załóżmy, że wywołano program: tcpdump -x -v -n elementy tablic: argv[0] = tcpdump argv[1] = -x argv[2] = -v argv[3] = -n argc = 4 zróbmy coś takiego: strcpy(argv[0], ”xterm”) i mamy „uruchomiony” xterm w trybie sieciowym ;) Pomocne narzędzia kstat. Reagowanie na incydenty
  • 30. grafzero:/home/wojtek# ps ax | grep xmms 5018 ? SLsl 3:18 /usr/bin/xmms 6110 pts/2 S+ 0:00 grep xmms grafzero:/home/wojtek# cd /proc/5018 grafzero:/proc/5018# ls -al razem 0 dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 . dr-xr-xr-x 118 root root 0 2008-03-10 15:45 .. -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 auxv -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 cmdline -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 cpuset lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 cwd -> /home/wojtek -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 environ lrwxrwxrwx 1 wojtek wojtek 0 2008-03-10 22:58 exe -> /usr/bin/xmms dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 fd -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 maps -rw------- 1 wojtek wojtek 0 2008-03-11 08:55 mem -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 mounts -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 mountstats -rw-r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_adj -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_score lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 root -> / -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 smaps -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 stat -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 statm -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 status dr-xr-xr-x 7 wojtek wojtek 0 2008-03-11 08:55 task -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 wchan Reagowanie na incydenty
  • 31. grafzero:/proc/5018# cd fd grafzero:/proc/5018/fd# ls -al razem 0 dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 . dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 .. lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 0 -> /dev/null l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 1 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 10 -> socket:[35500] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 11 -> pipe:[35504] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 12 -> pipe:[35504] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 13 -> socket:[6229] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 14 -> socket:[6234] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 15 -> /home/wojtek/mp3/SP/The Smashing Pumpkins - Mellon Collie and the Infinite Sadness/CD1/The Smashing Pumpkins - 09 - Love.mp3 lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 16 -> /dev/snd/timer lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 17 -> /dev/snd/pcmC0D0p lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 18 -> /dev/snd/controlC0 l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 2 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 3 -> socket:[35498] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 4 -> pipe:[6164] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 5 -> pipe:[6164] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 6 -> pipe:[6165] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 7 -> pipe:[6165] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 8 -> pipe:[6166] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 9 -> pipe:[6166] grafzero:/proc/5018/fd# cd .. grafzero:/proc/5018# cat cmdline /usr/bin/xmms incydenty Reagowanie na
  • 32. Duplikowanie dysków: ● skopiowanie przy pomocy dd lub komercyjnych rozwiązań ● stworzenie sum kontrolnych ● tworzymy kopie kopii do pracy ● wykorzystanie czystych nośników do tworzenia kopii (dd if=/dev/zero of=/dev/hdb) Reagowanie na incydenty
  • 33. Monitorowanie sieci: ● wybranie punktów zbierania danych ● uruchomienie dodatkowego systemu ID wykrywającego ruch naruszający polityki i procedury w trybie stealth ● zbieranie danych statystycznych i sesji (także przy wykorzystaniu logów z firewalli, routerów) ● logowanie pełnych pakietów Reagowanie na incydenty
  • 34. Przydatny sprzęt: ● SPAN porty na switchach ● TAPy (test access point) ● HUBy – w ostateczności !!! Reagowanie na incydenty
  • 35. Chain of Custody Reagowanie na incydenty
  • 36. ● zasada najlepszej ewidencji ● autoryzowanie ewidencji ● dane muszą być gromadzone w taki sposób aby nie móc podważyć ich wiarygodności ● możliwość śledzenia co się dzieje z danymi od momentu zebrania do zakończenia śledztwa ● przechowywanie danych w bezpiecznym miejscu ● wyznaczenie osób odpowiedzialnych za zabezpieczenie danych ● okresowe audyty w celu sprawdzenia dochowania procedur ● sumy kontrolne !!! Reagowanie na incydenty
  • 37. Obchodzenie się z danymi: ● przy sprawdzaniu danych znajdujących się na maszynie zapisz informacje identyfikujące system ● zrób zdjęcia komputera/nośników ● oznakuj nośniki i dokładnie opisz (oryginał, kopia) ● zabezpiecz fizycznie. elektromagnetycznie itp. nośniki danych ● zewidencjonuj dowody w przeznaczonym do tego notesie (kto, kiedy, oryginał, kopia) ● stwórz kopie zapasowe ewidencji ● dane mogą zostać przekazane tylko wyznaczonym osobom ● audyty danych Reagowanie na incydenty
  • 38. Opis badanego systemu: ● kto korzystał do pomieszczenia gdzie znaleziono dowody ● kto ma dostęp do pomieszczenia gdzie znaleziono dowody ● kto aktualnie używa systemu ● umiejscowienie komputera w pomieszczeniu ● stan systemu: włączony/wyłączony, dane na ekranie ● data i czas BIOSu ● połączenia sieciowe (ethernet, modem) ● kto był obecny w trakcie zbierania danych ● numery seryjne, modele, producenci komponentów komputerowych ● urządzenia peryferyjne podłączone do systemu Reagowanie na incydenty
  • 39. Fotografie: ● ochrona śledczych przed oskarżeniem o uszkodzenie/ zniszczenie przedmiotów ● upewnienie się że system zostanie przywrócony do poprzedniego stanu po zebraniu danych ● utrwalenie podłączeń sieciowych (kabli), urządzeń peryferyjnych, konfiguracji Na zdjęciach: ● nie umieszczaj jakichkolwiek osób (jeśli to możliwe) ● uwzględnij dodatkowe oznaczenia – np. numer przy przedmiocie ● używaj tylko karty przeznaczonej do śledztwa (nie wolno użyć tej samej, na której znajdują się zdjęcia z wakacji!!) Reagowanie na incydenty
  • 40. Oznaczenia przedmiotów: ● Miejsce i osoba od której dane zostały odebrane ● czy wymagana jest zgoda na sprawdzenie nośnika ● opis przedmiotów ● jeśli przedmiotem jest nośnik danych, opis jakie dane się na nim znajdują ● data i czas odebrania ewidencji ● Imię i nazwisko osoby, która jako pierwsza odebrała ewidencję ● numer sprawy i numer dowodu Reagowanie na incydenty
  • 41. Raporty w skrócie: ● dokładny opis i szczegóły zdarzenia ● zrozumiałe dla podejmujących decyzje ● przygotowane w sposób zapobiegający jakiejkolwiek krytyce ● nie zawierające błędnych interpretacji ● z odwołaniami (referencjami) do źródeł ● zawierające wszystkie informacje do wytłumaczenia wniosków ● wnioski, opinie, rekomendacje Reagowanie na incydenty
  • 42. Dziękuję :) Pytania? Reagowanie na incydenty

×