Status deste memorando Este documento especifica as melhores práticas atuais da Internet para o Comunidade da Internet e solicita discussão e sugestões para melhorias. A distribuição deste memorando é ilimitado. Aviso de direitos autorais Direitos autorais (C) The Internet Society (2002). Todos os direitos reservados. Resumo Um "incidente de segurança", conforme definido no "Glossário de segurança da Internet", RFC 2828 , é um evento do sistema relevante para a segurança, no qual os a política de segurança é desobedecida ou violada. O propósito de este documento é para fornecer aos administradores de sistema diretrizes sobre a coleta e o arquivamento de evidências relevantes para tal segurança incidente. Se a coleta de evidências for feita corretamente, será muito mais útil prender o atacante e tem uma chance muito maior de ser admissível em caso de acusação. Índice 1 Introdução ................................................ .... 2 1.1 Convenções usadas neste documento ........................... 2 2 Princípios orientadores durante a coleta de evidências ..... .............. 3 2.1 Ordem de Volatilidade ............................... .......... 4 2.2 Coisas a evitar ................................... .......... 4 2.3 Considerações sobre privacidade .................................... .. 5 2.4 Considerações legais ....................................... 5 3 A coleção Procedimento ....................................... 6 3.1 Transparência ................................................ 6 3.2 Etapas de coleta ............................................ 6 4 O Procedimento de Arquivamento ........................................ 7 4.1 Cadeia de Custódia. ........................................... 7 4.2 Arquivo ... .............................................. 7 5 Ferramentas que você vai precisar ............................................... 7 Melhores práticas atuais de Brezinski e Killalea [Página 1]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002 6 Referências ................................................ ...... 8 7 Agradecimentos ......................................... ... 8 8 Considerações de segurança ....................................... .. 8 9 Endereços dos autores ........................................... ... 9 10 Declaração completa de direitos autorais ....................................... 10
1 Introdução
Um "incidente de segurança", conforme definido em [ RFC2828 ], é um item relevante para a segurança. evento do sistema em que a política de segurança do sistema é desobedecida ou caso contrário, violado. O objetivo deste documento é fornecer Administradores de sistemas com diretrizes sobre coleta e arquivamento evidência relevante para esse incidente de segurança. Não é nossa intenção de insistir que todos os administradores de sistema sigam rigidamente estas diretrizes sempre que ocorrerem um incidente de segurança. Em vez, queremos fornecer orientação sobre o que eles devem fazer se optarem por coletar e proteger informações relacionadas a uma invasão. Essa coleção representa um esforço considerável por parte da Administrador do sistema. Grandes progressos foram feitos nos últimos anos para acelerar a reinstalação do sistema operacional e para facilitar a reversão de um sistema para um estado 'conhecido', tornando a 'opção fácil' ainda mais atraente. Enquanto isso, pouco tem sido para fornecer maneiras fáceis de arquivar evidências (a difícil opção). Além disso, o aumento das capacidades de disco e memória e mais uso generalizado de táticas furtivas e encobrir seus rastros por atacantes exacerbaram o problema. Se a coleta de evidências for feita corretamente, será muito mais útil prender o atacante e tem uma chance muito maior de ser admissível em caso de acusação. Você deve usar essas diretrizes como base para formular sua procedimentos de coleta de evidências do site e deve incorporar procedimentos do site na documentação de Manuseio de incidentes. o diretrizes deste documento podem não ser apropriadas em todos os jurisdições. Depois de formular as evidências do seu site procedimentos de coleta, você deve ter aplicação da lei para o seu jurisdição confirmar que eles são adequados.
1.1 Convenções usadas neste documento
As palavras-chave "NECESSÁRIO", "DEVE", "NÃO DEVE", "DEVE", "NÃO DEVE", e "PODE" neste documento devem ser interpretados conforme descrito em " palavras para uso em RFCs para indicar os níveis de exigência "[ RFC2119 ]. Melhores práticas atuais de Brezinski e Killalea [Página 2]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002
2 Princípios Orientadores durante a Coleta de Evidências
- Adira à Política de Segurança do seu site e envolva-se no pessoal apropriado de Manuseio de Incidentes e de aplicação da lei. - Capture a imagem mais precisa possível do sistema. - Mantenha notas detalhadas. Estes devem incluir datas e horas. E se possível gerar uma transcrição automática. (por exemplo, no Unix sistemas, o programa 'script' pode ser usado, porém a saída O arquivo gerado não deve ser usado para mídia que faz parte do evidência). Notas e impressões devem ser assinadas e datadas. - Observe a diferença entre o relógio do sistema e o UTC. Para cada timestamp fornecido, indique se o UTC ou a hora local são usadas. - Esteja preparado para testemunhar (talvez anos depois) descrevendo ações que você tomou e a que horas. Notas detalhadas serão vital. - Minimize as alterações nos dados enquanto você os coleta. Isto é não limitado a alterações de conteúdo; você deve evitar atualizar o arquivo ou tempos de acesso ao diretório. - Remova caminhos externos para mudança. - Quando confrontado com uma escolha entre coleta e análise você deve fazer a coleta primeiro e a análise posteriormente. - Embora dificilmente precise ser declarado, seus procedimentos devem ser implementável. Como em qualquer aspecto de uma resposta a incidentes política, procedimentos devem ser testados para garantir a viabilidade, particularmente em uma crise. Se possíveis procedimentos devem ser automatizado por razões de velocidade e precisão. Seja metódico. - Para cada dispositivo, deve ser adotada uma abordagem metódica que segue as diretrizes estabelecidas no seu procedimento de coleta. A velocidade será muitas vezes crítica, portanto, onde existem várias dispositivos que requerem exame, pode ser apropriado espalhar o trabalho da sua equipe para coletar as evidências em paralelo. No entanto, em uma única coleta de sistema, deve ser feito o passo passo a passo. - Prossiga do volátil para o menos volátil (consulte o Pedido Volatilidade abaixo). Melhores práticas atuais de Brezinski e Killalea [Página 3]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002 - Você deve fazer uma cópia em nível de bit da mídia do sistema. Se vocês deseja fazer análise forense, você deve fazer uma cópia em nível de bit sua cópia de evidência para esse fim, pois sua análise será quase certamente alterar os tempos de acesso ao arquivo. Evite fazer forense na cópia da evidência.
2.1 Ordem de Volatilidade
Ao coletar evidências, você deve passar do volátil para o menos volátil. Aqui está um exemplo de ordem de volatilidade para um típico sistema. - registros, cache - tabela de roteamento, cache arp, tabela de processos, estatísticas do kernel, memória - sistemas de arquivos temporários - disco - registro remoto e dados de monitoramento relevantes para o sistema em questão - configuração física, topologia de rede - mídia de arquivo
2.2 Coisas a evitar
É muito fácil destruir evidências, mesmo que inadvertidamente. - Não desligue até concluir a coleta de evidências. Muitas evidências podem ser perdidas e o atacante pode ter alterado o scripts / serviços de inicialização / desligamento para destruir evidências. - Não confie nos programas no sistema. Execute sua evidência coleta de programas de mídia adequadamente protegida (consulte abaixo). - Não execute programas que modifiquem o tempo de acesso de todos os arquivos no o sistema (por exemplo, 'tar' ou 'xcopy'). Melhores práticas atuais de Brezinski e Killalea [Página 4]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002 - Ao remover caminhos externos para mudança, observe que simplesmente desconectar ou filtrar da rede pode desencadear "interruptores deadman" que detectam quando estão fora da rede e limpe a evidência.
2.3 Considerações sobre privacidade
- Respeite as regras e diretrizes de privacidade de sua empresa e sua jurisdição legal. Em particular, verifique se não informações coletadas junto com as evidências que você está pesquisando para está disponível para quem normalmente não teria acesso para esta informação. Isso inclui o acesso aos arquivos de log (que pode revelar padrões de comportamento do usuário), bem como dados pessoais arquivos. - Não se intrometa na privacidade das pessoas sem fortes justificação. Em particular, não colete informações de áreas às quais você normalmente não tem motivos para acessar (como arquivos pessoais), a menos que você tenha indicação suficiente que existe um incidente real. - Verifique se você tem o apoio da empresa estabelecida procedimentos para executar as etapas que você executa para coletar evidências de um incidente.
2.4 Considerações legais
As evidências do computador precisam ser - Admissível: deve estar em conformidade com certas regras legais antes de pode ser levado a tribunal. - Autêntico: deve ser possível amarrar positivamente as provas material ao incidente. - Completo: deve contar a história toda e não apenas um perspectiva particular. - Confiável: não deve haver nada sobre como as evidências foram coletados e posteriormente manipulados que ponham em dúvida sua autenticidade e veracidade. - Acreditável: deve ser prontamente crível e compreensível por um tribunal. Melhores práticas atuais de Brezinski e Killalea [Página 5]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002
3 O procedimento de coleta
Seus procedimentos de coleta devem ser o mais detalhados possíveis. Como é caso com os procedimentos gerais de Manuseio de Incidentes, eles devem inequívoca e deve minimizar a quantidade de decisões tomadas necessário durante o processo de coleta.
3.1 Transparência
Os métodos usados para coletar evidências devem ser transparentes e reproduzível. Você deve estar preparado para reproduzir com precisão métodos que você usou e os testou por métodos independentes especialistas.
3.2 Etapas da coleta
- Onde estão as evidências? Liste quais sistemas estavam envolvidos na incidente e do qual serão coletadas evidências. - Estabeleça o que é provável que seja relevante e admissível. Quando em dúvida, errar do lado de coletar muito, em vez de não o suficiente. - Para cada sistema, obtenha a ordem relevante de volatilidade. - Remova caminhos externos para mudança. - Seguindo a ordem da volatilidade, colete as evidências com ferramentas conforme discutido na Seção 5 . - Registre a extensão do desvio do relógio do sistema. - Pergunte o que mais pode ser evidência ao trabalhar com o etapas de coleta. - Documente cada etapa. - Não esqueça as pessoas envolvidas. Faça anotações de quem estava lá e o que eles estavam fazendo, o que observaram e como reagiu. Onde possível, considere gerar somas de verificação e assinar criptograficamente as evidências coletadas, pois isso pode torná-lo mais fácil preservar uma forte cadeia de evidências. Ao fazer isso, você deve não alterar as evidências. Melhores práticas atuais de Brezinski e Killalea [Página 6]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002
4 O procedimento de arquivamento
As evidências devem ser rigorosamente protegidas. Além disso, a Cadeia de Custódia precisa ser claramente documentado.
4.1 Cadeia de Custódia
Você deve ser capaz de descrever claramente como as evidências foram encontradas, como foi tratado e tudo o que aconteceu com ele. O seguinte precisa ser documentado - Onde, quando e por quem as evidências foram descobertas e coletados. - Onde, quando e por quem as evidências foram tratadas ou examinadas. - Quem teve a custódia das provas, durante que período. Como foi armazenado. - Quando a evidência mudou a custódia, quando e como a a transferência ocorre (inclui números de remessa etc.).
4.2 Onde e como arquivar
Se possível, mídia comumente usada (em vez de algum armazenamento obscuro mídia) deve ser usado para arquivamento. O acesso à evidência deve ser extremamente restrito e deve ser claramente documentado. Deve ser possível detectar não autorizado Acesso.
5 ferramentas necessárias
Você deve ter os programas necessários para coletar evidências e forense em mídia somente leitura (por exemplo, um CD). Você deveria ter preparado um conjunto de ferramentas para cada um dos sistemas operacionais que você gerencia antes de ter que usá-lo. Seu conjunto de ferramentas deve incluir o seguinte: - um programa para examinar processos (por exemplo, 'ps'). - programas para examinar o estado do sistema (por exemplo, 'showrev', 'ifconfig', 'netstat', 'arp'). - um programa para fazer cópias bit a bit (por exemplo, 'dd', 'SafeBack'). Melhores práticas atuais de Brezinski e Killalea [Página 7]
Coleta e arquivamento de evidências da RFC 3227 fevereiro de 2002 - programas para gerar somas de verificação e assinaturas (por exemplo, 'sha1sum', um dd ativado por soma de verificação, 'SafeBack', 'pgp'). - programas para gerar imagens principais e examiná-las (por exemplo, 'gcore', 'gdb'). - scripts para automatizar a coleta de evidências (por exemplo, The Coroner's Kit de Ferramentas [ FAR1999 ]). Os programas no seu conjunto de ferramentas devem estar estaticamente vinculados e não deve exigir o uso de bibliotecas que não sejam as existentes no mídia somente leitura. Mesmo assim, como rootkits modernos podem ser instalados através de módulos carregáveis do kernel, você deve considerar que suas ferramentas pode não estar fornecendo uma imagem completa do sistema. Você deve estar preparado para testemunhar a autenticidade e confiabilidade das ferramentas que você usa.
6 References
[FAR1999] Farmer, D., and W Venema, "Computer Forensics Analysis Class Handouts", http://www.fish.com/forensics/ [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997. [RFC2196] Fraser, B., "Site Security Handbook", FYI 8, RFC 2196, September 1997. [RFC2350] Brownlee, N. and E. Guttman, "Expectations for Computer Security Incident Response", FYI 8, RFC 2350, June 1998. [RFC2828] Shirey, R., "Internet Security Glossary", FYI 36, RFC 2828, May 2000.
7 Acknowledgements
We gratefully acknowledge the constructive comments received from Harald Alvestrand, Byron Collie, Barbara Y. Fraser, Gordon Lennox, Andrew Rees, Steve Romig and Floyd Short.
8 Security Considerations
This entire document discuses security issues.
Brezinski & Killalea Best Current Practice [Page 8]
RFC 3227 Evidence Collection and Archiving February 2002
9 Authors’ Addresses
Dominique Brezinski In-Q-Tel 1000 Wilson Blvd., Ste. 2900 Arlington, VA 22209 USA EMail: [email protected] Tom Killalea Lisi/n na Bro/n Be/al A/tha na Muice Co. Mhaigh Eo IRELAND Phone: +1 206 266-2196 EMail: [email protected] Brezinski & Killalea Best Current Practice [Page 9]
RFC 3227 Evidence Collection and Archiving February 2002
10. Full Copyright Statement
Copyright (C) The Internet Society (2002). All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns. This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Acknowledgement Funding for the RFC Editor function is currently provided by the Internet Society.
Aprenda mais no curso CFID
Gostou do artigo? Conheça o curso Computação Forense e Investigação Digital.
Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado.
Hospedagem de site
digitalocean, excelente custo benefício.
Clique abaixo e aproveite!