Reagowanie na incydenty
Wojciech Wirkijowski
ww@reconlab.com

Agenda:
● wprowadzenie i definicje
● przygotowanie do reagowania na incydenty
● po wykryciu zdarzenia
● postępowanie z dowodami – Chain of custody
Reagowanie na incydenty

Źródła:
● Incident Response &
Computer Forensics –
K.Mandia, C. Prosise, M.
Pepe
● „Logs in Incident Response”
- A. Chuvakin
● www.sans.org
● www.incident-response.net
Reagowanie na incydenty

Czym jest incydent (w sensie informatycznym)?
Każdą bezprawną, nieautoryzowaną lub
nieakceptowalną akcją, która została dokonana
przy użyciu komputera i/lub sieci komputerowej.
Reagowanie na incydenty

Przykłady:
● Kradzież tajemnicy handlowej
● Nieautoryzowane lub bezprawne wtargnięcie do
systemów komputerowych
● Malwersacje
● Pornografia dziecięca
● Ataki DoS
● Naruszenie relacji biznesowych
● Wyłudzenia
Reagowanie na incydenty

Cele do osiągnięcia w reagowaniu na incydenty:
● Zapobieżenie bezładnej, nieskoordynowanej
reakcji
● Potwierdzenie lub zaprzeczenie zaistnienia
incydentu
● Ustanowienie kontroli nad poprawnym zbieraniem
i ewidencjonowaniem dowodów
● Gromadzenie właściwych i trafnych informacji
● Ochrona prywatności ustanowionej przez prawo
● Minimalizacja zakłóceń w działaniach organizacji i
działaniu systemów komputerowych
Reagowanie na incydenty

Cele do osiągnięcia w reagowaniu na incydenty –
c.d. :
● Doprowadzenie do rozpoczęcia działań
kryminalnych lub cywilnych wobec
sprawcy/sprawców
● Dostarczenie dokładnych raportów i użytecznych
rekomendacji
● Umożliwienie szybkiej detekcji i przeciwdziałania
● Minimalizacja ekspozycji i utraty danych
● Ochrona reputacji i zasobów organizacji
● Przygotowanie się/zapobieżenie podobnym
sytuacjom w przyszłości
Reagowanie na incydenty

Reagowanie na incydenty

Przygotowanie do działania w odpowiedzi na
zdarzenia:
● Wprowadzenie zabezpieczeń typu host-base i
network-base
● Szkolenia użytkowników
● Wdrożenie systemów ID (intrusion detection)
● Stworzenie mocnej kontroli dostępu
● Okresowe testowanie podatności systemów na
zagrożenia
● Regularne archiwizowanie danych (kopie
zapasowe)
Reagowanie na incydenty

Przygotowanie zespołu, który podejmie działania po
zaistnieniu zdarzenia, w tym przygotowanie:
● sprzętu do przeprowadzenia śledztwa
● oprogramowania do przeprowadzenia śledztwa
● dokumentacji (formularzy)
● polityki i procedury postępowania na wypadek
zdarzeń
● wyszkolenie i wyćwiczenie ludzi odpowiedzialnych
za podjęcie działań pozdarzeniowych
Reagowanie na incydenty

Wykrywanie zdarzeń:
Reagowanie na incydenty

Przygotowanie do incident response w skrócie:
● Pojedyncze maszyny
● utworzenie sum kontrolnych dla krytycznych
plików
● zwiększenie lub włączenie bezpiecznego
logwania
● wdrożenie systemów zabezpieczeń host-side
● tworzenie kopii zapasowych
● edukacja użytkowników
Reagowanie na incydenty

Z warsztatów Confidence 2007 „Logs in Incident
Response” Antona Chuvakina:
Log analysis. Why NOT
● “Real hackers don’t get logged!” ☺
● Why bother? No, really ...
● Too much data (>x0 GB per day)
● Too hard to do
● Is this device lying to me? ☺
● No tools “that do it for you”
● – Or: tools too expensive
● What logs? We turned them off
Reagowanie na incydenty

Przygotowanie do incident response w skrócie:
● Sieć komputerowa
● wdrożenie firewalli i idsów (oczywiste)
● access-listy na routerach
● stworzenie topologii sieci (np. w Visio)
● szyfrowanie komunikacji
● wymaganie uwierzytelniania
Reagowanie na incydenty

Przygotowanie do incident response w skrócie:
● Stworzenie i wdrożenie polityk i procedur
● uwzględnienie czynników biznesowych
● uwzględnienie czynników prawnych
● uwzględnienie czynników polityki firmy
● uwzględnienie czynników technicznych
Brak polityk i procedur:
● panika i początkowa reakcja równolegle
● przeciwdziałanie skutkom i śledztwo w tym
samym czasie
● dwa kroki do przodu i dziesięć w tył
Reagowanie na incydenty

Sprzętowe minimum w reagowaniu na incydenty:
● komputer z:
● procesorem pentium 1GHz lub więcej
● minimum 256 MB RAM
● dyski IDE o dużej pojemności
● dyski SCSI o dużej pojemności
● karty i kontrolery SCSI
● szybki napęd optyczny CD/DVD RW
● kasetki do streamera
● dodatkowo:
● gniazda zasilające dla urządzeń peryferyjnych
● kable zasilające
● różnego typu przewody SCSI z terminatorami
● adaptery parallel-to-SCSI
● skrętkę UTP CAT 5 i huby/switche
● zasilanie awaryjne (UPS)
Reagowanie na incydenty

● czyste płyty CD/DVD – 100 szt lub więcej
● etykiety (naklejki) na płyty
● marker do oznaczania płyt
● teczki biurowe wraz z etykietami
● instrukcje użytkownika dla posiadanego sprzętu
● kamerę cyfrową/aparat cyfrowy
● zamykane torebki/opakowania do zbierania dowodów
● drukarkę i papier
Reagowanie na incydenty

Ustanowienie zespołu odpowiedzialnego za
przeprowadzenie postępowania pozdarzeniowego
CIRT (Computer Incident Response Team):
● ustalenie misji zespołu
● stworzenie zespołu stałego lub powoływanego na
czas dochodzenia
● wyznaczenie osób odpowiedzialnych i kierownika
zespołu
● szkolenia i ćwiczenia
Reagowanie na incydenty

PO ZDARZENIU
Reagowanie na incydenty

Cele:
● natychmiastowe i efektywne podejmowanie
decyzji
● jak najszybsze zebranie informacji w sposób
zapewniający niepodważalność dowodów
● odpowiednia sklasyfikowanie zdarzenia
● szybkie poinformowanie osób odpowiedzialnych
za wezwanie/zmobilizowanie zespołu CIRT
Reagowanie na incydenty

Reagowanie na incydenty

Zapisywanie wszystkich niezbędnych informacji
Lista czynności do wykonania w pierwszej
kolejności:
● data i czas wykrycia lub rozpoczęcia zdarzenia
● dane kontaktowe osoby odbierającej zgłoszenie
● dane kontaktowe osoby zgłaszającej
● typ zdarzenia
● lokalizacja komputerów objętych zdarzeniem
● data pierwszego zauważenia sytuacji
● opis fizycznych zabezpieczeń w miejscach zdarzeń
● w jaki sposób wykryto zdarzenie
● kto miał dostęp do systemów po wykryciu incydentu
● kto miał fizyczny dostęp do systemów po wykryciu incydentu
● kto obecnie wie o incydencie
Reagowanie na incydenty

Lista czynności do wykonania w drugiej kolejności:
● Zgromadzenie danych - Szczegóły systemu
● marka i model systemu
● system operacyjny
● główny użytkownik(-cy)
● administrator systemu
● adres sieciowy lub IP
● nazwa sieciowa
● rodzaje połączeń (np. modem)
● krytyczne informacje znajdujące się w systemie
Reagowanie na incydenty

● Dochodzenie:
● czy zdarzenie nadal trwa i postępuje
● czy niezbędne jest monitorowanie sieci
● czy system podłączony jest do internetu/sieci;
jeśli nie to kto wydał polecenie odłączenia
systemu i kiedy będzie podłączony z powrotem
● czy istnieją kopie zapasowe
● jakie kroki przeciwdziałania zostały już podjęte
● czy zebrane informacje są przechowywane w
bezpieczny zapobiegający sfałszowaniu sposób
Reagowanie na incydenty

Narzędzia w incident response:
● narzędzia dla różnych systemów operacyjnych
● opisanie i oznaczenie nośników zawierających
narzędzia
● sprawdzenie zależności
● stworzenie sum kontrolnych dla narzędzi
● zabezpieczenie przed zapisem nośników z
programami narzędziowymi
● stosowanie narzędzi sprawdzonych i uznanych
przez środowisko specjalistów (prawo)
● korzystanie tylko z zaufanych kopii
Reagowanie na incydenty

Zebranie ulotnych danych:
● uruchomienie zaufanej powłoki (cmd.exe, bash)
● zapisanie czasu i daty systemowej
● sprawdzenie kto jest zalogowany do systemu
● zapisanie modyfikacji, stworzenia i dostępu do
wszystkich plików
● sprawdzenie otwartych portów sieciowych
(netstat, Fport)
● wylistowanie wszystkich uruchomionych procesów
● wylistowanie wszystkich połączeń
● zapisanie czasu i daty systemowej (!!! drugi raz!!!)
Reagowanie na incydenty

Zebranie ulotnych danych c.d.:
● udokumentowanie wszystkich wydanych poleceń
(doskey /history, .bash_history, script)
Najlepszym rozwiązaniem jest wykonanie
wszystkich powyższych kroków poprzez wcześniej
przygotowany skrypt (.bat, .sh). Zapobiegnie to
pomyłkom, skróci znacząco czas śledztwa i
zwiększy wiarygodność zebranych danych.
Reagowanie na incydenty

Zebranie innych ważnych danych:
● logi
● rejestry/pliki konfiguracyjne
● uzyskanie haseł systemowych
● zdumpowanie pamięci RAM (userdump.exe,
zmodyfikowane dd)
SUMY KONTROLNE!!!
Reagowanie na incydenty

Rootkity:
załóżmy, że wywołano program:
tcpdump -x -v -n
elementy tablic:
argv[0] = tcpdump
argv[1] = -x
argv[2] = -v
argv[3] = -n
argc = 4
zróbmy coś takiego:
strcpy(argv[0], ”xterm”)
i mamy „uruchomiony” xterm w trybie sieciowym ;)
Pomocne narzędzia kstat.
Reagowanie na incydenty

grafzero:/home/wojtek# ps ax | grep xmms
5018 ? SLsl 3:18 /usr/bin/xmms
6110 pts/2 S+ 0:00 grep xmms
grafzero:/home/wojtek# cd /proc/5018
grafzero:/proc/5018# ls -al
razem 0
dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 .
dr-xr-xr-x 118 root root 0 2008-03-10 15:45 ..
-r-------- 1 wojtek wojtek 0 2008-03-11 08:55 auxv
-r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 cmdline
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 cpuset
lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 cwd -> /home/wojtek
-r-------- 1 wojtek wojtek 0 2008-03-11 08:55 environ
lrwxrwxrwx 1 wojtek wojtek 0 2008-03-10 22:58 exe -> /usr/bin/xmms
dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 fd
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 maps
-rw------- 1 wojtek wojtek 0 2008-03-11 08:55 mem
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 mounts
-r-------- 1 wojtek wojtek 0 2008-03-11 08:55 mountstats
-rw-r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_adj
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_score
lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 root -> /
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 smaps
-r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 stat
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 statm
-r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 status
dr-xr-xr-x 7 wojtek wojtek 0 2008-03-11 08:55 task
-r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 wchan
Reagowanie na incydenty

grafzero:/proc/5018# cd fd
grafzero:/proc/5018/fd# ls -al
razem 0
dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 .
dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 ..
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 0 -> /dev/null
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 1 -> /home/wojtek/.xsession-errors
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 10 -> socket:[35500]
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 11 -> pipe:[35504]
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 12 -> pipe:[35504]
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 13 -> socket:[6229]
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 14 -> socket:[6234]
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 15 -> /home/wojtek/mp3/SP/The Smashing Pumpkins -
Mellon Collie and the Infinite Sadness/CD1/The Smashing Pumpkins - 09 - Love.mp3
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 16 -> /dev/snd/timer
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 17 -> /dev/snd/pcmC0D0p
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 18 -> /dev/snd/controlC0
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 2 -> /home/wojtek/.xsession-errors
lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 3 -> socket:[35498]
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 4 -> pipe:[6164]
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 5 -> pipe:[6164]
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 6 -> pipe:[6165]
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 7 -> pipe:[6165]
lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 8 -> pipe:[6166]
l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 9 -> pipe:[6166]
grafzero:/proc/5018/fd# cd ..
grafzero:/proc/5018# cat cmdline
/usr/bin/xmms incydenty
Reagowanie na

Duplikowanie dysków:
● skopiowanie przy pomocy dd lub komercyjnych
rozwiązań
● stworzenie sum kontrolnych
● tworzymy kopie kopii do pracy
● wykorzystanie czystych nośników do tworzenia
kopii (dd if=/dev/zero of=/dev/hdb)
Reagowanie na incydenty

Monitorowanie sieci:
● wybranie punktów zbierania danych
● uruchomienie dodatkowego systemu ID
wykrywającego ruch naruszający polityki i
procedury w trybie stealth
● zbieranie danych statystycznych i sesji (także przy
wykorzystaniu logów z firewalli, routerów)
● logowanie pełnych pakietów
Reagowanie na incydenty

Przydatny sprzęt:
● SPAN porty na switchach
● TAPy (test access point)
● HUBy – w ostateczności !!!
Reagowanie na incydenty

Chain of Custody
Reagowanie na incydenty

● zasada najlepszej ewidencji
● autoryzowanie ewidencji
● dane muszą być gromadzone w taki sposób aby
nie móc podważyć ich wiarygodności
● możliwość śledzenia co się dzieje z danymi od
momentu zebrania do zakończenia śledztwa
● przechowywanie danych w bezpiecznym miejscu
● wyznaczenie osób odpowiedzialnych za
zabezpieczenie danych
● okresowe audyty w celu sprawdzenia dochowania
procedur
● sumy kontrolne !!!
Reagowanie na incydenty

Obchodzenie się z danymi:
● przy sprawdzaniu danych znajdujących się na
maszynie zapisz informacje identyfikujące system
● zrób zdjęcia komputera/nośników
● oznakuj nośniki i dokładnie opisz (oryginał, kopia)
● zabezpiecz fizycznie. elektromagnetycznie itp.
nośniki danych
● zewidencjonuj dowody w przeznaczonym do tego
notesie (kto, kiedy, oryginał, kopia)
● stwórz kopie zapasowe ewidencji
● dane mogą zostać przekazane tylko
wyznaczonym osobom
● audyty danych
Reagowanie na incydenty

Opis badanego systemu:
● kto korzystał do pomieszczenia gdzie znaleziono dowody
● kto ma dostęp do pomieszczenia gdzie znaleziono dowody
● kto aktualnie używa systemu
● umiejscowienie komputera w pomieszczeniu
● stan systemu: włączony/wyłączony, dane na ekranie
● data i czas BIOSu
● połączenia sieciowe (ethernet, modem)
● kto był obecny w trakcie zbierania danych
● numery seryjne, modele, producenci komponentów komputerowych
● urządzenia peryferyjne podłączone do systemu
Reagowanie na incydenty

Fotografie:
● ochrona śledczych przed oskarżeniem o uszkodzenie/ zniszczenie
przedmiotów
● upewnienie się że system zostanie przywrócony do poprzedniego stanu
po zebraniu danych
● utrwalenie podłączeń sieciowych (kabli), urządzeń peryferyjnych,
konfiguracji
Na zdjęciach:
● nie umieszczaj jakichkolwiek osób (jeśli to możliwe)
● uwzględnij dodatkowe oznaczenia – np. numer przy przedmiocie
● używaj tylko karty przeznaczonej do śledztwa (nie wolno użyć tej samej,
na której znajdują się zdjęcia z wakacji!!)
Reagowanie na incydenty

Oznaczenia przedmiotów:
● Miejsce i osoba od której dane zostały odebrane
● czy wymagana jest zgoda na sprawdzenie nośnika
● opis przedmiotów
● jeśli przedmiotem jest nośnik danych, opis jakie dane się na nim znajdują
● data i czas odebrania ewidencji
● Imię i nazwisko osoby, która jako pierwsza odebrała ewidencję
● numer sprawy i numer dowodu
Reagowanie na incydenty

Raporty w skrócie:
● dokładny opis i szczegóły zdarzenia
● zrozumiałe dla podejmujących decyzje
● przygotowane w sposób zapobiegający
jakiejkolwiek krytyce
● nie zawierające błędnych interpretacji
● z odwołaniami (referencjami) do źródeł
● zawierające wszystkie informacje do
wytłumaczenia wniosków
● wnioski, opinie, rekomendacje
Reagowanie na incydenty

Dziękuję :)
Pytania?
Reagowanie na incydenty