Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Recherche sur l'incident

10.4. Recherche sur l'incident

Examiner une br�che informatique correspond � examiner la sc�ne d'un crime. Des d�tectives rassemblent les preuves, notent tous les indices et font l'inventaire des pertes et des dommages. L'analyse d'un compromis informatique peut �tre men�e soit lorsque l'attaque est en cours, soit en r�trospective.

Bien qu'il ne soit pas recommand� de faire confiance aux fichiers journaux d'un syst�me exploit�, il existe d'autres utilitaires pour vous aider dans votre analyse. Le but et les fonctions de ces outils varient, mais, en g�n�ral, ils cr�ent des copies image-bit de m�dia, mettent en relation des �v�nements et des processus, montrent des informations de syst�mes de fichiers de bas niveau et r�cup�rent des fichiers effac�s si possible.

Il est �galement conseill� d'enregistrer toutes les actions de recherches ex�cut�es sur un syst�me compromis � l'aide de la commande script, comme dans l'exemple suivant�:

script -q <file-name>

Remplacez <file-name> par le nom du fichier pour le journal script. Vous devriez toujours enregistrer le fichier journal sur un m�dia plut�t que sur le disque dur du syst�me compromis — une disquette ou un CD-ROM fonctionne particuli�rement bien dans ce cas.

En enregistrant toutes vos actions, un suivi d'analyse est cr��, ce qui peut devenir de valeur si l'agresseur est un jour arr�t�.

10.4.1. Collecte d'une image preuve

La cr�ation d'une copie image-bit de m�dia est une premi�re �tape faisable. Dans le cas de travail m�dico-l�gal de donn�es, c'est un besoin. Il est conseill� de cr�er deux copies�: une pour l'analyse et la recherche, et l'autre pour �tre stock�e avec l'original en tant que preuves lors de d�marches l�gales.

Vous pouvez utiliser la commande dd qui fait partie du paquetage coreutils de Red Hat Enterprise Linux pour cr�er une image monolithique d'un syst�me exploit� en tant que preuve dans une enqu�te ou pour comparer avec des images certifi�es. Supposez que vous ne souhaitiez l'image que d'un seul disque dur d'un syst�me. Connectez ce disque � votre syst�me en tant que esclave, puis utilisez la commande dd pour cr�er le fichier image, comme dans l'exemple suivant�:

dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1

Cette commande cr�e un seul fichier nomm� image1 � l'aide d'une taille de bloc de 1k pour la vitesse. Les options conv=noerror,sync obligent la commande dd � continuer � lire et vider des donn�es m�me si des mauvais secteurs sont trouv�s sur le disque suspect. Il est maintenant possible d'�tudier le fichier image r�sultat et m�me d'essayer de r�cup�rer des fichiers effac�s.

10.4.2. Collecte d'informations apr�s la br�che

Le sujet d'analyse et d'�tudes m�dico-l�gales num�riques est en lui-m�me tr�s �tendu, mais les outils sont surtout sp�cifiques aux architectures et ne peuvent pas �tre appliqu�s de fa�on g�n�rique. Cependant, la r�ponse aux incidents, l'analyse et la restauration sont des sujets importants. Avec les propres connaissances et exp�riences, Red Hat Enterprise Linux peut �tre une plate-forme parfaite pour effectuer ces genres d'analyse, vu qu'il inclut plusieurs utilitaires pour effectuer la r�ponse et la restauration apr�s la br�che.

Le Tableau 10-1 d�taille certaines commandes pour l'audit et la gestion de fichiers. Il offre �galement quelques exemples qui peuvent �tre utilis�s pour identifier correctement les fichiers et les attributs de fichiers (comme les permissions et les dates d'acc�s) afin que vous puissiez rassembler davantage de preuves ou d'�l�ments pour l'analyse. Ces outils, combin�s avec les syst�mes de d�tection d'intrusions, les pare-feu, les services endurcis et autres mesures de s�curit�, peuvent aider � r�duire les d�g�ts potentiels au cours d'une attaque.

NoteRemarque
 

Pour de plus amples informations sur chaque outil, veuillez consulter leurs pages de manuel respectives.

CommandeFonctionExemple
ddCr�e une copie image-bit (ou vidage sur disque) de fichiers et de partitions. Combin� avec un contr�le des md5sum de chaque image, les administrateurs peuvent comparer l'image, avant la br�che, d'une partition ou d'un fichier au syst�me qui a subi la br�che pour voir si les sommes correspondent. dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt
grepTrouve des informations (texte) utiles � l'int�rieur de fichiers et de r�pertoires, comme les permissions, les changements de scripts, les attributs de fichiers et autres. Utilis� le plus souvent avec un tube apr�s d'autres commandes comme ls, ps ou ifconfigps auxw |grep /bin
stringsAffiche les cha�nes de caract�res imprimables d'un fichier. Cela est surtout utile pour rechercher des anomalies dans des ex�cutables, comme les commandes mail vers des adresses inconnues ou enregistrant sur un fichier journal non standard.strings /bin/ps |grep 'mail'
fileD�termine les caract�ristiques de fichiers selon le format, le code, les biblioth�ques li�es et le type de fichier (binaire, texte et autre). Cette commande est utile pour d�terminer si un ex�cutable, comme /bin/ls a �t� modifi� � l'aide de biblioth�ques statiques, un signe s�r que l'ex�cutable a �t� remplac� par un utilisateur malveillant.file /bin/ls
findRecherche des fichiers particuliers dans les r�pertoires. Cet outil est utile pour chercher la structure de r�pertoires par mot-cl�, heure et date d'acc�s, permissions, etc. Cela peut s'av�rer utile pour les administrateurs qui effectuent des analyses g�n�rales de syst�me sur des fichiers ou r�pertoires particuliers. find -atime +12 -name *log* -perm u+rw
statAffiche diverses informations sur un fichier, y compris la date de sa derni�re utilisation, ses permissions, les d�finitions des bit UID et GID, etc. Utile pour contr�ler la derni�re fois qu'un ex�cutable de syst�me qui a subi une br�che a �t� utilis� ou modifi�.stat /bin/netstat
md5sumCalcule la somme de contr�le de 128-bit � l'aide de l'algorithme hash md5. Vous pouvez utiliser la commande pour cr�er un fichier texte qui contient la liste de tous les ex�cutables essentiels qui pourraient �tre modifi�s ou remplac�s dans un compromis de s�curit�. Redirigez les sommes vers un fichier pour cr�er une base de donn�es de sommes de contr�le, puis copiez le fichier sur un m�dia en lecture seule, comme un CD-ROM.md5sum /usr/bin/gdm >>md5sum.txt

Tableau 10-1. Outils d'audit de fichiers

 
 
  Published under the terms of the GNU General Public License Design by Interspire