Das Untersuchen einer Computerverletzung ist wie das Untersuchen eines Tatortes. Kriminalbeamte sammeln Beweise, bemerken verd�chtige Hinweise und notieren Verluste und Sch�den. Eine Analyse einer Computerverletzung kann entweder noch w�hrend der Attacke geschehen oder post-mortem (nach dem Versto�).
Obwohl man System-Logdateien auf einem angegriffenen System nicht trauen kann, gibt es kriminaltechnische Utensilien, die Ihnen bei der Analyse helfen. Der Zweck und die Features dieser Tools variieren, aber allgemein erstellen diese Bit-Image-Kopien der Medien, fassen Ereignisse und Prozesse zusammen, zeigen detaillierte Dateisysteminformationen und stellen gel�schte Dateien wo m�glich wieder her.
Es ist auch ratsam, alle durchgef�hrten Untersuchungen auf einem kompromittierten System aufzuzeichnen, in dem Sie den Befehl script wie im folgenden Beispiel verwenden:
script -q <file-name>
Ersetzen Sie <file-name> mit dem Dateinamen f�r das script-Log. Speichern Sie die Log-Datei immer auf einem anderem Medium als die Festplatte des kompromittierten Systems — ein Diskette oder eine CD-ROM sind bew�hrte Medien f�r diesen Zweck.
Indem Sie Ihre Aktionen aufzeichnen, wird ein Audit-Trail erstellt, der wertvoll sein kann, falls der Angreifer gefasst wird.
10.4.1. Erstellen eines Images als Beweis
Das Erstellen einer Bit-Image Kopie der Medien ist ein sinnvoller erster Schritt. Wenn wir Daten untersuchen, ist dies eine Anforderung. Es wird empfohlen, zwei Kopien zu erstellen Eine f�r die Analyse und Untersuchung, und eine zweite Kopie, die zusammen mit dem Original gespeichert wird und als Beweismittel in jeglichen rechtlichen Verfahren gilt.
Sie k�nnen den Befehl dd, der Teil des coreutils-Pakets in Red Hat Enterprise Linux ist, verwenden, um ein monolithisches Abbild eines kompromittierten Systems zu erstellen und dies als Beweis in einer Untersuchung oder f�r den Vergleich mit vertrauensw�rdigen Images zu verwenden. Nehmen Sie an, es besteht eine einzelne Festplatte in einem System, von dem Sie ein Abbild machen m�chten. F�gen Sie diese Festplatte als Slave zu Ihrem System hinzu und verwenden Sie den Befehl dd, um eine Image-Datei zu erstellen:
Dieser Befehl erstellt eine einzige Datei mit dem Namen image1 und verwendet einen 1K Block aus Geschwindigkeitsgr�nden. Die Option conv=noerror, sync zwingtdd dazu, mit dem Lesen und Ablegen von Daten fortzufahren, auch wenn defekte Sektoren auf dem verd�chtigen Laufwerk gefunden werden. Jetzt k�nnen Sie die resultierende Image-Datei studieren oder versuchen, gel�schte Dateien wiederherzustellen.
10.4.2. Post-Breach-Informationen sammeln
Das Thema digitale Untersuchungen und Analysen ist relativ breitgef�chert, dennoch sind die Tools ziemlich Architektur-spezifisch und k�nnen nicht allgemein angewendet werden. Vorfallsreaktion, Analyse und Wiederherstellung sind jedoch wichtige Themen. Mit dem richtigen Wissen und der Erfahrung wird Red Hat Enterprise Linux zu einer ausgezeichneten Plattform f�r solche Arten von Analysen, da es verschiedene Utilities f�r die R�ckantwort nach einem Versto� und f�r die Wiederherstellung bietet.
Tabelle 10-1 beschreibt im Detail einige Befehle f�r das Pr�fen und Verwalten von Dateien. Es werden au�erdem einige Beispiele aufgelistet, die Sie zum richtigen Identifizieren von Dateitypen und Dateiattributen (wie z.B. Berechtigungen und Zugangsdaten) ben�tigen, so dass Sie weitere Beweise f�r die Analyse sammeln k�nnen. Diese Tools, kombiniert mit Intrusion Detection Systemen, Firewalls, geh�rtete Services und andere Sicherheitsma�nahmen, k�nnen potentielle Sch�den bei einer Attacke reduzieren.
Hinweis
Detaillierte Informationen �ber jedes Tool finden Sie auf den jeweiligen man-Seiten.
Befehl
Funktion
Beispiel
dd
Erstellt eine Bit-Image Kopie (oder disk dump) von Dateien und Partitionen. Kombiniert mit einer Pr�fung der md5sums von jedem Image k�nnen Administratoren ein Image der Partition oder der Datei vor dem Bruch mit einem Image, das nach dem Bruch erstellt wurde, vergleichen und pr�fen, ob die Pr�fsummen �bereinstimmen.
dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt
grep
Findet n�tzliche (Text)-Informationen innerhalb von Dateien und Verzeichnissen wie zum Beispiel Berechtigungen, Dateiattribute, Skript�nderungen und vieles mehr. Wird haupts�chlich als Pipe-Befehl eines anderen Befehls wie ls, ps oder ifconfig verwendet
ps auxw |grep /bin
strings
Druckt Ketten druckbarer Zeichen in einer Datei aus. Dies ist sehr n�tzlich f�r das Pr�fen von ausf�hrbaren Dateien auf Anomalien wie z.B. mail-Befehle an unbekannte Adressen oder das Loggen in einer Nicht-Standard-Logdatei.
strings /bin/ps |grep 'mail'
file
Legt die Charakteristiken von Dateien basierend auf Format, Kodierung, Bibliotheken die verkn�pft werden (falls vorhanden) und Dateityp (bin�r, Text, etc.) fest. Es ist n�tzlich f�r das Feststellen, ob eine ausf�hrbare Datei wie /bin/ls mittels statischen Bibliotheken ge�ndert wurde, was ein sicheres Zeichen daf�r ist, das die ausf�hrbare Datei durch eine von einem Benutzer mit b�swilliger Absicht installierte Datei ersetzt wurde.
file /bin/ls
find
Durchsucht Verzeichnisse auf bestimmte Dateien. Es ist ein n�tzliches Tool f�r das Durchsuchen der Verzeichnisstruktur nach Schl�sselw�rtern, Datum und Zeit des Zugangs, Berechtigungen, und so weiter. Dies ist n�tzlich f�r Administratoren, die allgemeine Systempr�fungen f�r Verzeichnisse oder Dateien durchf�hren.
find -atime +12 -name *log* -perm u+rw
stat
Zeigt verschiedene Informationen �ber eine Datei an, inklusive Zeitpunkt des letzten Zugriffs, Berechtigungen, UID und GID-Einstellungen und vieles mehr. Dies kann n�tzlich f�r das Pr�fen sein, wann eine ausf�hrbare Datei in einem betroffenen System zuletzt verwendet und/oder ver�ndert wurde.
stat /bin/netstat
md5sum
Berechnet die 128-Bit Pr�fsummen mit dem md5-Hash-Algorithmus. Sie k�nnen diesen Befehl verwenden, um eine Textdatei mit einer Liste aller wichtigen Executables, die bei einem Systemeinbruch ver�ndert oder ersetzt werden k�nnten, zu erstellen. Leiten Sie die Summen in eine Datei um, um eine einfache Datenbank mit Pr�fsummen zu erhalten, und kopieren Sie dann die Datei auf ein Medium nur mit Leseberechtigung, wie z.B. CD-ROM.