- Про LiveCD
- Розслідування комп'ютерних злочинів
- Helix
- Мал. 1. Helix, PyFLAG, Adepto і антивірус ClamAV в дії.
- Мал. 2. Plan-B в звіті про виконану аналізі надає знайомий інтерфейс командного рядка.
- Ресурси для скачування
Два засоби виявлення вторгнення в систему і відновлення важливих даних
У попередній статті Мейенка " Assess system security using a Linux LiveCD "(« Оцінка безпеки системи за допомогою Linux LiveCD ») розглядалися LiveCD, забезпечені інструментами для оцінки захищеності комп'ютера. Але що робити, якщо система була зламана і використана для незаконних або неавторизованих дій? Одна з можливостей - це виклик фахівця з комп'ютерної безпеки. Інша - завантаження інструментів, використовуваних цими фахівцями, вивчення і самостійне використання можливостей щодо забезпечення цілісності та відновлення даних. При цьому не потрібно турбуватися про встановлення цих програ мм - це ж LiveCD!
Про LiveCD
LiveCD представляє собою завантажувальний CD-ROM з операційною системою (і додатковим ПО), з якого ОС можна запустити без необхідності установки. Більшість таких дисків засновані на ядрі Linux (але є LiveCD і для інших операційних систем). LiveCD в ході роботи розміщує файли на RAM-диску (зменшуючи обсяг оперативної пам'яті, доступної іншим додаткам, що може знизити продуктивність). Після того, як LiveCD витягнутий з CD-ROM і система перезавантажена, можна використовувати вихідну операційну систему. Деякі LiveCD мають в складі спеціальну утиліту, що дозволяє встановити операційну систему на жорсткий диск або USB-диск; більшість LiveCD дозволяє отримати доступ до інформації на внутрішніх / зовнішніх жорстких дисках і модулях флеш-пам'яті.
Для завантаження LiveCD на основі Linux використовується syslinux, а також дискети з Linux. Для PC завантаження CD зазвичай відповідає специфікації EI Torito, яка використовує в якості способу дискети спеціальний (можливо, прихований) файл на диску. Багато LiveCD використовують стиснений образ файлової системи, який часто забезпечується стисненим драйвером для ефективного використання ємності накопичувача.
Ряд наявних на ринку емуляторів дозволяють випробувати LiveCD без необхідності його запису на CD або завантаження на комп'ютер. Самим широко підтримуваним емулятором для i386 є VMware. Серед інших - Qemu, PearPC і Bochs, які також можуть емулювати платформи x86 і / або PowerPC®. Однак через використовуваних ними методів емуляції, вони працюють повільніше своїх комерційних аналогів. Ще одним комерційним варіантом є VirtualPC.
Розслідування комп'ютерних злочинів
Вторгнення в комп'ютери або комп'ютерні мережі і використання їх в якості прикриття для протизаконних дій стало звичайною справою, настільки звичайним, що необхідними для цього навичками володіють багато людей. Однак здатність виявити і зловити зловмисника не настільки поширена. Найбільший (хоча і вигаданий) сищик Шерлок Холмс сказав одного разу: «Головна помилка - будувати теорії до отримання всіх доказів. Це спотворює факти ».
Збір доказів зі зламаних систем - робота фахівців з комп'ютерно-технічну експертизу, Шерлоків Холмсів цифрової епохи. Для збору відомостей про систему, їх критичної оцінки та аналізу вони використовують спеціалізовані інструменти. Не дивно, що кращі інструменти для цієї роботи - програми з відкритим вихідним кодом. Популярними інструментами, що використовуються не тільки фахівцями з безпеки, а й викладачами курсів з комп'ютерної безпеки, є TCT (The Coroner's Toolkit), Sleuth Kit, Autopsy Forensic Browser і FLAG (Forensics Log Analysis GUI).
Helix
Подібно багатьом спеціалізованим LiveCD, Helix виник тоді, коли з'явилася відповідна потреба. Ендрю Фейхи (Andrew Fahey), фахівець з безпеки і комп'ютерним розслідувань, працюючи в e-fense Inc, взяв за основу Knoppix і додав програми, які він використовував у своїй повсякденній роботі.
«Моє взаємодія з користувачами досить широко. Користувачів заохочують мені відгуки з усього світу. Так як люди використовують Helix в різному оточенні, багато часу забирає забезпечення безвідмовної роботи в будь-якій ситуації. Ось чому для вдосконалення Helix і виправлення всіх виявлених помилок я покладаюся на відгуки користувачів. Я також сподіваюся на них в перекладах іншими мовами », - говорить Ендрю.
Helix має інтерфейс роботи з Windows®, що дозволяє підключитися для дослідження системи з працюючою Windows. Цей інтерфейс був переведений на німецьку мову і скоро буде переведений на португальську. До того ж, було розроблено безліч програм для реагування на комп'ютерні інциденти. Helix використовується багатьма навчальними організаціями, включаючи National White Collar Crime Center (NW3C), System Administrator Network Security Institute (SANS) і National Consortium for Justice Information and Statistics.
Helix не призначений для установки на жорсткий диск, але в майбутніх версіях така можливість може з'явитися. «Мені б хотілося бачити рівень абстрагування від заліза, подібний наявного в Fedora. Я давно вже додав модуль union-fs, який зажадав чимало зусиль », - зауважує Ендрю. Хоча більшість програм, включених в Helix, були обрані ним особисто, деякі були рекомендовані спільнотою. Найбільша проблема - з програмами, які вимагають ліцензування.
У наступній версії будуть оновлені працюють і додані нові програми Retriever і Adepto, які Ендрю постійно використовує разом з програмами з Sleuth Kit і PyFLAG.
Мал. 1. Helix, PyFLAG, Adepto і антивірус ClamAV в дії.
Plan-B
Plan-B від Джеремі Мак-Деніела (Jeremy McDaniel) - це LiveCD для комп'ютерних розслідувань, розроблений під впливом SuperRescue CD від Петера Енвіна (Peter Anvin). Він заснований на Red Hat 9, використовує Blackbox Window Manager і файлову систему zisofs, щоб вмістити на CD в стислому вигляді 1,4 Гб даних. LiveCD містить аналітичні засоби для проведення розслідувань (такі як Autopsy, The Sleuth Kit, BCWipe і інші) разом зі звичайними програмами, такими як поштові клієнти, браузери, клієнти чатів і текстові редактори. Відповідно до Web-сайтом проекту:
«У наступній версії буде оновлена велика частина (якщо не всі) наявного ПО, додано ядро 2.6 і зроблений перехід на Fedora. В якості основної бази даних для нового сервера додатків буде використаний MySQL. У планах - робота зі створення модуля безпеки / аудиту / планування на основі eServer ™. Згодом продукт буде випущений у вигляді самостійного застосування. Plan-B буде служити просто в якості мобільного рішення для тестування. Це буде інструмент з можливістю створення звітів для аудиту на основі груп і перевірки проникнення в систему »
Мал. 2. Plan-B в звіті про виконану аналізі надає знайомий інтерфейс командного рядка.
висновок
Уявіть собі, що можливості досвідченого фахівця з комп'ютерних розслідувань ви можете отримати завдяки завантажувального Linux CD. Це не мрія. Це реальність, якщо використовувати будь-який з LiveCD, описаних в даній статті. Вдалого розслідування!
Ресурси для скачування
Схожі теми
- оригінал статті (EN).
- " Assess system security using a Linux LiveCD "(EN) (developerWorks, липень 2005) містить огляд чотирьох LiveCD, що спеціалізуються на виявленні вразливостей систем.
- " Rock your desktop with entertainment LiveCDs "(EN) (developerWorks, січень 2006 року) містить огляд чотирьох LiveCD, що допомагають перетворити комп'ютер з Linux в домашній розважальний центр.
- " Back to school with education LiveCDs "(EN) (developerWorks, січень 2006 року) містить огляд трьох LiveCD для домашнього навчання.
- " Craft a load-balancing cluster with ClusterKnoppix "(EN) (developerWorks, грудень 2004) демонструє використання LiveCD на основі Knoppix для побудови власного суперкомп'ютерного кластеру Linux.
- " Spin up a Linux LiveCD "(EN) (developerWorks, липень 2004) демонструє метод запуску або демонстрації Linux без необхідності установки.
- Helix - це дистрибутив на основі Knoppix Live Linux CD, призначений для реагування на інциденти і надає інструментарій для комп'ютерно-технічної експертизи. (EN)
- Plan-B являє собою завантажується середу Linux, яка може грати різні ролі для техніка або мережевого адміністратора. (EN)
- PyFlag - це версія FLAG (Forensic and Log Analysis GUI), яка може спростити процес аналізу файлів журналів та комп'ютерно-технічної експертизи. Для обробки великих обсягів інформації використовується база даних. (EN)
- The Sleuth Kit (TSK) являє собою набір інструментів командного рядка, заснованих на The Coroner's Toolkit (TCT); Autopsy є графічний інтерфейс до інструментів командного рядка в TSK. (EN)
- The Coroner's Toolkit (TCT) - це набір програм для аналізу систем UNIX після злому. (EN)
- BCWipe - це розширена командна оболонка Windows, призначена для безпечного видалення файлів. (EN)
- Будьте в курсі новітніх досягнень дистрибутивів Linux благодрая DistroWatch.com . (EN)
- Велика кількість ресурсів для розробників міститься в розділі developerWorks Linux zone . (EN)
- With Пробні версії програмного забезпечення IBM , Які можна завантажити безпосередньо з developerWorks, допоможуть вам у створенні нового Linux-проекту. (EN)
Підпишіть мене на повідомлення до коментарів
Але що робити, якщо система була зламана і використана для незаконних або неавторизованих дій?