Datainsamling

• När man har konstaterat att ett dataintrång har skett gäller det att samla in och analysera data på ett sådant sätt att data inte förstörs eller förvrängs.
  

  Det är viktigt att alla systemadministratörer är medvetna om att klumpiga försök att "kolla vad som hänt" eller (ännu värre) "rätta till problemet" kan resultera i att viktiga data om intrånget förstörs. Drabbas inte av panik!
  

  Tänk på att systemet kan vara helt i händerna på inkräktarna. Om du då tar dig in på systemet och loggar in som root, administrator eller liknande kan effekten bli att inkräktarna nu får tillgång till det lösenordet (som de inte nödvändigtvis har tillgång till bara för att de lyckats knäcka systemet). Om samma lösenord används på något annat system kan konsekvenserna bli stora. Tänk dig alltså noga för innan du gör något på systemet, speciellt innan nätet är bortkopplat. Om du redan gjort något sådant: byt lösenord osv på andra system.
  

Innan nätbortkoppling

• Ofta vill man omgående koppla bort ett drabbat system från nätet, för att stoppa det pågående intrånget och se till att inkräktarna inte hinner rensa spår.
  

  Om man inte har en aning om vad som pågår och man inte kan övervaka trafiken till/från systemet så är detta förmodligen det bästa man kan göra.
  

  Ifall man vågar ha is i magen och har möjlighet att spela in all nättrafik från/till systemet, så kan man sätta igång en sådan inspelning medan systemet fortfarande är kvar på nätet, för att på så sätt se vad som sker. Den extra information som detta ger måste vägas mot risken att något sker under tiden, som man hade förhindrat om man kopplade bort direkt.
  

  Om man spelar in nättrafiken bör man fortsätta med detta efter man kopplat bort systemet från nätet. Inkräktare som upptäcker att de tappat kontakten med systemet kan försöka koppla upp sig igen, och till exempel avslöja vilken port en bakdörr körs på.
  

  När man väl tagit systemet av nätet gäller det att samla in "flyktiga data" innan de försvinner. Framför allt ska man undvika att stänga av eller starta om systemet, vilket i de flesta fallen innebär att man måste göra denna del av datainsamlingen medan systemet är kvar på sin ursprungliga plats.
  

  Observera att det finns en motsättning mellan två principer här:
  

  - Man ska se till att fånga flyktiga data innan de försvinner. Om systemet stängs av försvinner dessa. Krypterade filsystem kan vara monterade så att de kan läsas nu, men kommer att vara oåtkomliga utan lösenordet när systemet startas om.
  

  - Man ska inte röra systemet utan så snart som möjligt ta exakta kopior av diskarna och arbeta på dessa istället för systemet (dels för att inte ändra data vid analysen och dels för att rootkit och liknande som körs kan förvränga bilden av systemet)
  

  Det finns inget sätt att uppfylla båda dessa mål till 100% samtidigt. Man måste kompromissa och göra det man måste innan systemet stängs av.
  

  Det är viktigt att man jobbar snabbt för att inte tappa data. Man bör också se till att anteckna allt vad man gör och när man gör det.
  

  De råd och anvisningar för datainsamling som nu följer är för ett unix-system men mycket är lika även för andra operativsystem. Längre ner kommer dock ett avsnitt med Windows specifika råd.
  

Efter nätbortkoppling

• Innan man börjar undersöka dator är rådet att koppla bort den från nätet. Detta kan förorsaka problem eftersom systemet kan förutsätta nätanslutning men det gäller att isolera systemet från vidare intrång.
  

  När det gäller att samla in data bör detta ske i en viss ordning.
  

Unix system

• Börja med att spara device minnet och RAM. Det finns några unix program som hjälper till med detta 'savecore' och 'memdump'. Kan hittas på Linux och FreeBSD distributioner.
  

  Fortsätt med att samla in data från systemet med hjälp av vanliga unix-kommandon innan du stänger av systemet.
  

  - last, w, who skapar listor med inloggade användare, tidigare inloggade m.m.
  

  - ls -lat skapar en lång lista över filer i suspekta directory som /dev, /root m.m.
  

  - ps (auxwww, elfwww på linux) skapar en lång lista över aktuella processer
  

  - lsof ger en fullständig lista över öppna filer
  

  Innan du stänger av systemet notera några saker
  

  Vad är klockan (skillnad mot korrekt normaltid). Detta behövs senare vid analys för att man ska kunna jämföra med andra system, nättrafik m.m.
  

  Skriv ner hårdvaru-, mjukvaru-, system- och nät-konfiguration.
  

Efter avstängning

• När systemet har stängts av gäller det att spara all information som finns på hårddiskarna. Detta kan ske mha kommandot 'dd' som är standard unix
  

  - dd if=/dev/hdc of=image.disk bs=4096 (kopierar hela disken)
  

  - dd if=/dev/hdc1 of=image.del1 bs=4096 (kopierar första partitionen)
  

  Du kan därefter flytta image-filen till någon annan dator där själva analysen sker.
  

  Image-filen kan den monteras med hjälp av följande kommando.
  

  - mount -t vfat -o -r loop image.disk /mnt/analyse
  

  Med program från The Coroners Toolkit (TCT) eller The Sleuth Kit (TSK) kan du nu analysera innehållet i image-filen.
  

  - grave-robber ett datainsamlingsprogram, används oftast för att samla in i-node information som man senare analyserar med hjälp av 'mactime'
  

  - unrm och lazarus program för att återskapa borttagna filer eller för att hitta och identifiera förlorad eller gömd information.
  

  - mactime program för att sortera filer/directory beroende på modifierings-, kontakt-, eller ändrings-tid vad gäller i-node tidsstämpel.
  

  - Leta efter root-kit med t.ex. 'chkrootkit' programmet.
  

  Om man kan konstatera att systemet är infekterat av ett rootkit som dolt information, bör insamling av data för 'mactime'-analys ske en gång till på de kopierade diskarna. Nu kan man också plocka ut de loggar och andra intressanta filer som man inte hann kopiera innan systemet stängdes av.
  

  Förutom information på systemet kan det finnas andra data som behövs vid analysen, till exempel:
  

• Loggar från logg-server och från andra system

• Information om nättrafik

• Information från säkerhetskopior som finns av systemet

• Information från andra drabbade

Windows system

• Datainsamling sker enklast m.h.a. Helix, en windows anpassad version av Knoppix, som du hittar här http://www.e-fense.com/helix/[[BR]]

  För att samla in nyttiga data använd Windows Forensics Toolkit (WFT http://www.foolmoon.net/security/wft/index.html) som ingår i Helix med allt redan konfigurerat. Välj "OK"för att både köra långsamma och förändrande aktiviteter. Låt WFT även köra mac.exe som samlar MAC-data som kan analyseras på samma sätt som vid unix-insamlande.
  

  Med hjälp av WFT kan du skapa en image av det fysiska minnet och Acquire skapar en images av det du inte fick images av i WFT.
  

  För att skapa en image av hårddiskar.
  

  - Börja med att lista volymer med "Volume_dump.exe", exempel: volume_dump volume_dump \\.C:\
  

  - Skapa en image av en fysisk enhet med "dd" (motsvarar /dev/hda): dd if=\\.\PhysicalDrive0 of=D:\drive0.img
  

  - Skapa en image av en logisk enhet med "dd" (motsvarar /dev/hda1) dd if=\\.\C: of=D:\c-drive.img
  

  Tips! Kopiera gärna Windows-images till komprimerade NTFS-diskar, man sparar mycket plats.
  

  Windows program som "volume_dump.exe" och "dd.exe" med mera plus bra exempel hittar du på Helix CD eller

här http://www.securitywizardry.com/index.php/products/forensic-solutions/forensic-toolkits.html

• Analys av Windows-diskar sker enklast inifrån linux man kan då använda samma metoder som för linux-diskar.
  

  - Montera Windows-disk på linux: mount -t ntfs -o loop,ro,show_sys_files=true c-drive.img /mnt/win-drive-c/ show_sys_files=true detta gör att man ser filsystemets metadata, man kan även utan att ta med option se datan om man kan deras namn t.ex. ls -l \$MTF
  

  För analys av Windows-disk se hur unix image-filer analyseras avsnittet "Unix system".
  Länkar:

  • http://www.first.org/conference/2007/papers/venema-wietse-slides.pdf

  • http://www.porcupine.org/forensics/ (The Coroners Toolkit - TCT)

  • http://www.sleuthkit.org/ (The Sleuth Kit - TSK och mac-robber)