Był cyberatak? Był Incydent? I co dalej?
Działanie na wypadek cyberataku
Wielu administratorów zastanawia się co dalej po cyberataku. Najbardziej gorący moment minął. Atak został zażegnany. Systemy przywrócone, a dane odzyskane. To scenariusz optymistyczny. Wszystko wróciło do normy, ale czy na tym polega zakończenie sprawy?
Wydaje się, że raczej nie, przecież w realnym życiu nie pozostawiamy sprawy włamania do pomieszczenia bez działań następczych. Zwykle powiadamiamy organa ścigania, firmy ubezpieczeniowe, dokonujemy wraz z nimi pierwszych oględzin, a eksperci śledczy sporządzają protokoły. Jednym słowem zabezpieczają materiały dowodowe.
Takie zachowania powinny być praktyką także w świecie wirtualnym. Czynności po kradzieży, czy też włamaniu w zasadzie nie różnią się co do zabezpieczenia miejsca przestępstwa.
Przenosząc zdarzenia przestępcze do świata wirtualnego można powiedzieć, że w cyberświecie jest więcej miejsc lokalizacyjnych (śladów), w których przestępca zapomniał wymazać swoją nielegalną obecność w systemie.
Dziedziną zajmującą się badaniem takich miejsc jest kryminalistyka cyfrowa.
Kryminalistyka cyfrowa
Dziedzina ta nie jest młodą i ulega takiej samej ewolucji jak każda dziedzina życia społecznego. Zmiennym w niej są techniki badawcze, natomiast niezmiennym jest samo badanie komponentów komputerów i systemów np. obrazy dysków twardych, obrazy nośników zewnętrznych, układy elektroniczne pamięci RAM, flash itp., czy też zrzuty połączeń sieciowych. Należy mieć świadomość, że powyższe materiały są kluczowymi w ustaleniu stanu z przed zdarzenia. Zbierając materiały dowodowe po cyberataku powinniśmy być zainteresowani przede wszystkim procesami:
- Uruchamiania i zamykania systemu (ponowne uruchomienie, zatrzymanie);
- Odczytu i zapisu plików systemowych oraz zmiany praw dostępu do nich;
- Inicjowaniu połączenia sieciowego i zmiany stawień sieciowych;
- Zmiany informacji o użytkowniku lub grupie;
- Zmiany daty i godziny, w tym synchronizacji zegarów;
- Instalacji, usuwania, uruchamiania i zatrzymywania usług serwerowych i demonów;
- Nawiązywania połączeń między systemowych.
Dzienniki systemowe - ważny aspekt w dziedzinie cyberbezpieczeństwa
W powyżej wyliczonej grupie głównym nośnikiem informacji są tzw. logi systemowe zwane również dziennikami systemowymi. Analiza zapisu z tych logów jest cenną informacją, która przybliży nas do wskazania źródła awarii (ataku). Warto zwrócić uwagę, że konfiguracja zapisu logów może być dowolna i dowolnie „głęboka”. Jest to oczywiście związane z potrzebą „schodzenia” to takiego stopnia szczegółowości ale również i z pojemnością dysków.
Dzienniki systemowe powinny być archiwizowane, o czym administratorzy często świadomie lub nieświadomie zapominają. Niewielka grupa podmiotów jest prawnie zobligowana do utrzymywania dzienników systemowych w odpowiednich ramach czasowych (operatorzy telekomunikacyjni, podmioty realizujące zadania publiczne etc.).
Ważnym jest, aby zapisy do tych dzienników oraz ramy czasowe były możliwe do wykorzystania po cyberataku. Dobrym rozwiązaniem ochrony logów jest umieszczenie ich poza środowiskiem produkcyjnym np. chmurowym. Daje to możliwość kontroli zapisów i gwarancję, że dziennik systemowy może być nie osiągalny i nie zmodyfikowany przez potencjalnego włamywacza.
Czy systemy są pomocne przy zabezpieczaniu dowodów kryminalistycznych?
W przypadku głębszej analizy komponentów komputera np. systemu Windows, wiodącym staje się rejestr, w którym w magicznie brzmiących nazwach drzewa, znajdują się zapisy stanowiące o naruszeniach integralności systemowych lub zmianach dokonanych przez potencjalnego złoczyńcę.
Od początku istnienia systemów Windows, rejestr był zawsze agentem czuwającym nad systemem i czynnościami użytkowników w nim pracujących.
Popularne systemy Linux również tworzą zapisy czynności systemowych. Każdy demon, usługa, aplikacja posiada swój dedykowany plik, do którego są „zrzucane” logi. Zwykle, są to zapisy w języku otwartym pozwalającym na bieżące ich odczytywanie. W rzadkich przypadkach, ale przy aplikacjach (usługach) krytycznych z punktu widzenia systemu, logi są zapisywane w postaci szyfrowanej, a do odczytu są dedykowane aplikacje odczytujące.
Warto pamiętać, że Linux jako system, jest od początku w swojej instalacji przygotowany do wysyłania dobowych raportów logów na wskazaną w konfiguracji skrzynkę mailową np. administratora (root-a).
Przy zabezpieczaniu dowodów kryminalistycznych w przypadku systemu Linux, należy brać pod uwagę:
- listę użytkowników, grup oraz ich uprawnień;
- identyfikację procesów działających z uprawnieniami root-a;
- planowane zadania przez cron-a;
- pliki z ustawionym bitem suid i sgid;
- zapisy w pliku /etc/sudoers;
- interface sieciowe, połączenia, porty oraz tablice routingu;
- iptables, dzienniki fail2ban;
- konfigurację zdalnych usług logowania (ssh, ftp, sftp, telent);
- stan SELinux;
- lista załadowanych modułów jądra.