Episode 2: Controlled from the beyond
by Eduard Blenkers, 19 August 2011, 13:20
Theo: http://www.h-online.com/security/features/CSI-Internet-Controlled-from-the-beyond-1322313.html
Bài được đưa lên Internet ngày: 19/08/2011
Lời người dịch: Máy tính của bạn đang bị điều khiển từ xa và bạn đã phát hiện ra điều đó. Bạn muốn được điều tra và phát hiện ra kẻ thủ phạm để đưa chúng ra tòa. Loạt bài này sẽ dạy chúng ta một số bước điều tra để thực hiện được điều đó.
Bị kiểm soát từ xa
Loạt bài thứ 2 “CSI: Internet” ban đầu từng được xuất bản trong tạp chí của C bắt đầu với số 15/2011. Để kết nối tới các bài viết trong loạt bài đầu xin hãy tham chiếu tới trang CSI: Internet HQ.
The second series of "CSI:Internet" was originally published in c't magazine starting with issue 15/2011. For links to articles in the first series please refer to our CSI:Internet HQ page.
CSI:Internet
Chuông điện thoại reo. Người gọi tự giới thiệu là ngài Waldmann. Ông có trách nhiệm về a ninh CNTT trong một công ty cỡ vừa và đã tham gia một trong những khóa huấn luyện trước đó. Ông đang được sếp của mình triệu tới, người đã phát hiện ra rằng máy tính cá nhân PC của mình đã phát triển một sống của riêng nó. Đã có những hoạt động ma quái giống như đọc các thư điện tử, mở các tệp đính kèm, tìm các chi tiết liên hệ và kiểm tra lịch làm việc - tất cả diễn ra mà ông không hề sờ tới con chuột máy tính.
The telephone rings. The caller introduces himself as Mr. Waldmann. He is in charge of IT security in a medium-sized company and attended one of our training sessions some time ago. He is being summoned by his boss, who has discovered that his PC has developed a life of its own. There were ghostly activities like reading emails, opening attachments, fetching contact details and checking the calendar – all taking place without him touching the mouse.
Ông Waldmann cảm thấy tin chắc rằng ông có thể tự mình phân tích vụ việc nhưng ông đã chú ý tới tiến trình của chúng ta và biết rằng đây chắc chắn là một cuộc tấn công của một tin tặc, thì điều này không chỉ là việc tìm ra những gì đã xảy ra. Hầu như quan trọng hơn là để đảm bảo cho bằng chứng của cuộc tấn công sẽ phải được đưa ra tòa. Và đó là nơi mà tôi, như một nhà điều tra hình sự, đã tới.
Như một vị khách mời không còn hoạt động tích cực nữa, tôi đã khuyên khách hàng của mình rút bỏ cắm điện khỏi máy tính bị tổn thương nghiêm trọng của ông chủ ngay lập tức. Không, đừng có tắt máy đi! Điều đó có thể cho phép các scripts tiềm tàng để chạy bị tắt và có thể xóa đi các dấu vết có giá trị, hoặc hệ thống thậm chí có thể cài đặt một số bản vá. Chỉ kéo dắc cắm. Tôi hứa sẽ tới ngay lập tức và nhắc kỳ ông ta không rời mắt khỏi chiếc máy cho tới tận khi tôi tới.
Khi tôi tới trước ngưỡng cửa một tiếng đồng hồ sau đó, tôi thấy ông Waldmann đang ngồi trong chiếc ghế bành của sếp ông ta, hình như đang loay hoay với cuốn sổ tay của ông sếp. Tuy nhiên, trước khi tôi có thể phản đối thì ông ta đặt nó xuống và giải thích rằng ông ta đã nhờ ai đó mang chiếc máy chính của ông ta cho ông ta. Đối tượng điều tra là ở dưới bàn - một chiếc máy tính cá nhân đơn thuần.
Mr Waldmann feels confident that he could analyse the incident himself but he's paid attention to our course and knows that with a hacker attack this obvious, it is not just about finding out what happened. Almost more important is to secure evidence of the attack that will hold up in court. And that's where I, as a forensic investigator, come in.
As the unknown visitor is no longer active, I advise my client to pull the power plug out of his boss's potentially compromised workstation at once. No, don't shut it down! That could allow potential shut-down scripts to run that could destroy valuable traces, or the system could even install some patches. Just pull the plug. I promise to come by immediately and impress on him not to take his eyes off the system until I arrive.
When I arrive at the premises about an hour later, I find Mr Waldmann sitting in his boss's chair, apparently messing around with his boss's notebook. However, before I can protest he puts the lid down and explains that he had someone bring him his own machine. The object under investigation is under the table – a plain PC.
Sau lời chào nhanh, tôi bắt tay vào làm việc và tiến hành thủ tục thường làm của tôi: trên một ổ đĩa cứng mới, tôi thiết lập một cấu trúc thư mục cho tất cả các thông tin và ngay lập tức các kết quả có liên quan tới vụ việc; Tôi viết ngày tháng và thời gian và chụp ảnh chiếc máy tính, bao gồm cả cận cảnh nhãn hiệu dạng thiết bị và số kiểm kê. Sau đó tôi đã mở vỏ máy và tiến tới ổ đĩa cứng. Tôi tiếp tục chụp ảnh tất cả các chi tiết sẽ được đặt trong hồ sơ của dự án này sau đó - một tiếp cận hệ thống và ngăn nắp có kỷ luật là chủ chốt của một công việc điều tra hình sự.
Khi tôi đang đóng gói ổ cứng, ông Waldmann hùng hồn khăng khăng rằng, nếu theo tất cả các khả năng có thể, các dữ liệu nhạy cảm phải không được để lại tại chỗ. Tôi tới một phòng thí nghiệm tạm thời thiết lập cho các tuần tiếp sau, và người bảo vệ của công ty, được mời tới theo điện thoại, cục cằn thay đổi chiếc khóa. Vâng, điều đó là cần thiết, tôi giải thích cho người cảnh vệ an ninh - sau tất cả, chúng ta không thể tuyên bố các nhân viên của công ty có thể có liên quan tới vụ việc, và chúng ta không muốn rủi ro chiếc đĩa cứng bị ăn cắp. Người bảo vệ trao 2 chìa khóa duy nhất cho tôi và ông Waldmann. Nên làm như vậy lúc này; sau tất cả, chúng ta không đang làm việc với khoa học tên lửa ở đây.
Thậm chí trước khi xem xét lần đầu chiếc đĩa cứng, tôi khởi động máy mà không cần có đĩa. Tôi có quan tâm tới thời gian của hệ thống chiếc máy: 14:53. Liếc qua chiếc đồng hồ đeo tay, tôi thấy nó chỉ cùng thời gian. Ông Waldmann, người không rời mắt khỏi tôi, nói với tôi một cách tự hào về máy chủ thời gian NTP cục bộ của ông ta về các máy tính của công ty được đồng bộ hóa thường xuyên theo những khoảng thời gian. Điều đó làm cho công việc của tôi dễ dàng hơn nhiều, vì nó cho phép chúng ta chỉ đơn giản khớp các thông tin đầu vào của tệp lưu ký log của các máy chủ tường lửa và ủy quyền proxy với các dấu mốc thời gian của một tệp được yêu cầu. Sự không nhất quán về thời gian giữa các đồng hồ các lớn bao nhiêu, thì càng khó bấy nhiêu để tìm ra các thông tin đầu vào trong tệp lưu ký ủy quyền có sử dụng, ví dụ, dấu thời gian của một tệp trong bộ nhớ cache của trình duyệt.
Để điều tra đĩa cứng, tôi sử dụng công cụ chuyên nghiệp quan trọng nhất của tôi: trình chống ghi. Thiết bị này được chèn vào giữa trình kiểm soát và đĩa cứng, và nhiệm vụ của nó là để khóa bất kỳ sự truy cập ghi nào ở mức đĩa cứng. Điều này đảm bảo rằng các thành phần như trình quét virus của tôi sẽ không xóa đi bằng chứng quí giá khỏi đĩa một cách hấp tấp.
Bài tiếp: Những dấu vết đầu tiên.
After a quick hello, I get to work and go through my usual routine: on a new hard disk, I set up a folder structure for all the information and intermediate results pertaining to the case; I write down the date and time and take pictures of the computer, including close-ups of the device's type label and inventory number. Then I open the housing to get to the hard disk. I take further pictures of all the details, which will be placed in the project folder later – a systematic and orderly approach is the central pillar of a forensic investigator's work.
As I'm packing up the hard disk, Mr Waldmann eloquently insists that, if at all possible, the sensitive data mustn't leave the premises. So I get a provisional lab set up for the coming weeks, and the company caretaker, having been summoned by phone, grumpily changes the lock. Yes, that is necessary, I explain to the security officer – after all, we can't rule out that company employees may be involved in the matter, and we don't want to risk having the hard disk stolen. The caretaker hands the only two keys to me and Mr Waldmann. That should do for now; after all, we're not dealing with rocket science here.
Even before taking a first look at the hard disk, I boot the disk-less workstation. I'm interested in its system time: 14:53. Glancing at my wrist watch, I see that it shows the same time. Mr Waldmann, who doesn't take his eyes off me, proudly tells me about his local NTP time server which of the company's computers are synchronised with at regular intervals. That makes my job much easier already, because it allows us to simply match the log file entries of firewall and proxy servers with a file's time stamps as required. The greater the time discrepancy between clocks, the harder it is to find a matching entry in the proxy log file using, for example, the time stamp of a file in the browser cache.
Ảnh: Trình chống ghi (write blocker) ngăn trở những truy cập ghi vào đĩa cứng bị điều tra.
The write blocker prevents write accesses to the hard disk that is to be investigated
To examine the hard disk, I bring out my most important professional tool: the write blocker. This device is inserted between the controller and the hard disk, and its task is to block any write accesses at a hardware level. This ensures that components such as my virus scanner don't prematurely wipe precious evidence from the disk.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.