Восстановление системы после взлома с помощью LiveCD

Два средства обнаружения вторжения в систему и восстановления важных данных

Хотите оценить целостность своей системы Linux® и восстановить потерянные данные без длительной и трудоемкой установки и конфигурирования? Познакомьтесь с двумя пакетами – Helix и Plan-B – которые предоставляют эти возможности с помощью LiveCD.

Майанк Шарма, технический писатель-фрилансер, Open Sourse Technology Group

Майанк Шарма (Mayank Sharma) - редактор Open Source Technology Group (OSTG), подразделение VA Linux, и публикуется главным образом на поддерживаемых OSTG сайтах NewsForge и Linux.com. Он также пишет для ежемесячной колонки в Packt Publishing. Кроме того, он в качестве приглашенного лектора ведет курсы в Индийском технологическом институте в Дели на темы, связанные с открытыми исходными кодами.



24.06.2008

В предыдущей статье Мэйэнка "Assess system security using a Linux LiveCD" («Оценка безопасности системы с помощью Linux LiveCD») рассматривались LiveCD, снабженные инструментами для оценки защищенности компьютера. Но что делать, если система была взломана и использована для незаконных или неавторизованных действий? Одна из возможностей - это вызов специалиста по компьютерной безопасности. Другая – загрузка инструментов, используемых этими специалистами, изучение и самостоятельное использование возможностей по обеспечению целостности и восстановлению данных. При этом не нужно беспокоиться об установке этих программ – это же LiveCD!

О LiveCD

LiveCD представляет собой загрузочный CD-ROM с операционной системой (и дополнительным ПО), с которого ОС можно запустить без необходимости установки. Большинство таких дисков основаны на ядре Linux (но есть LiveCD и для других операционных систем). LiveCD в ходе работы размещает файлы на RAM-диске (уменьшая объем оперативной памяти, доступной другим приложениям, что может снизить производительность). После того, как LiveCD извлечен из CD-ROM и система перезагружена, можно использовать исходную операционную систему. Некоторые LiveCD имеют в составе специальную утилиту, позволяющую установить операционную систему на жесткий диск или USB-диск; большинство LiveCD позволяет получить доступ к информации на внутренних/внешних жестких дисках и модулях флеш-памяти.

Для загрузки LiveCD на основе Linux используется syslinux, а также дискеты с Linux. Для PC загружаемый CD обычно соответствует спецификации EI Torito, которая использует в качестве образа дискеты специальный (возможно, скрытый) файл на диске. Многие LiveCD используют сжатый образ файловой системы, который часто снабжается сжатым драйвером для эффективного использования емкости запоминающего устройства.

Ряд имеющихся на рынке эмуляторов позволяют испытать LiveCD без необходимости его записи на CD или загрузки на компьютер. Самым широко поддерживаемым эмулятором для i386 является VMware. Среди других — Qemu, PearPC и Bochs, которые также могут эмулировать платформы x86 и/или PowerPC®. Однако из-за используемых ими методов эмуляции, они работают медленнее своих коммерческих аналогов. Еще одним коммерческим вариантом является VirtualPC.

Расследование компьютерных преступлений

Вторжение в компьютеры или компьютерные сети и использование их в качестве прикрытия для противозаконных действий стало обычным делом, настолько обычным, что необходимыми для этого навыками обладают многие люди. Однако способность обнаружить и поймать злоумышленника не столь распространена. Величайший (хотя и вымышленный) сыщик Шерлок Холмс сказал однажды: «Главная ошибка – строить теории до получения всех доказательств. Это искажает факты».

Сбор доказательств со взломанных систем – работа специалистов по компьютерно-технической экспертизе, Шерлоков Холмсов цифровой эпохи. Для сбора сведений о системе, их критической оценки и анализа они используют специализированные инструменты. Неудивительно, что лучшие инструменты для этой работы – программы с открытым исходным кодом. Популярными инструментами, используемыми не только специалистами по безопасности, но и преподавателями курсов по компьютерной безопасности, являются TCT (The Coroner's Toolkit), Sleuth Kit, Autopsy Forensic Browser и FLAG (Forensics Log Analysis GUI).

Helix

Подобно многим специализированным LiveCD, Helix возник тогда, когда появилась соответствующая потребность. Эндрю Фейхи (Andrew Fahey), специалист по безопасности и компьютерным расследованиям, работая в e-fense Inc, взял за основу Knoppix и добавил программы, которые он использовал в своей повседневной работе.

«Мое взаимодействие с пользователями довольно широко. Пользователи присылают мне отклики со всего света. Так как люди используют Helix в различном окружении, много времени отнимает обеспечение безотказной работы в любой ситуации. Вот почему для совершенствования Helix и исправления всех обнаруженных ошибок я полагаюсь на отзывы пользователей. Я также полагаюсь на них в переводах на другие языки», – говорит Эндрю.

Helix имеет интерфейс работы с Windows®, позволяющий подключиться для исследования системы с работающей Windows. Этот интерфейс был переведен на немецкий язык и скоро будет переведен на португальский. Вдобавок, было разработано множество программ для реагирования на компьютерные инциденты. Helix используется многими обучающими организациями, включая National White Collar Crime Center (NW3C), System Administrator Network Security Institute (SANS) и National Consortium for Justice Information and Statistics.

Helix не предназначен для установки на жесткий диск, но в будущих версиях такая возможность может появиться. «Мне бы хотелось видеть уровень абстрагирования от железа, подобный имеющемуся в Fedora. Я давно уже добавил модуль union-fs, который потребовал немало усилий», – замечает Эндрю. Хотя большинство программ, включенных в Helix, были выбраны им лично, некоторые были рекомендованы сообществом. Самая большая проблема - с программами, требующими лицензирования.

В следующей версии будут обновлены работающие и добавлены новые программы Retriever и Adepto, которые Эндрю постоянно использует вместе с программами из Sleuth Kit и PyFLAG.

Рис. 1. Helix, PyFLAG, Adepto и антивирус ClamAV в действии.
Helix, PyFLAG, Adepto и антивирус ClamAV в действии

Plan-B

Plan-B от Джереми Мак-Дэниэла (Jeremy McDaniel) - это LiveCD для компьютерных расследований, разработанный под влиянием SuperRescue CD от Петера Энвина (Peter Anvin). Он основан на Red Hat 9, использует Blackbox Window Manager и файловую систему zisofs, чтобы уместить на CD в сжатом виде 1,4 Гб данных. LiveCD содержит аналитические средства для проведения расследований (такие как Autopsy, The Sleuth Kit, BCWipe и другие) вместе с обычными программами, такими как почтовые клиенты, браузеры, клиенты чатов и текстовые редакторы. В соответствии с Web-сайтом проекта:

«В следующей версии будет обновлена большая часть (если не все) имеющегося ПО, добавлено ядро 2.6 и сделан переход на Fedora. В качестве основной базы данных для нового сервера приложений будет использован MySQL. В планах — работа по созданию модуля безопасности/аудита/планирования на основе eServer™. Со временем продукт будет выпущен в виде самостоятельного приложения. Plan-B будет служить просто в качестве мобильного решения для тестирования. Это будет инструмент с возможностью создания отчетов для аудита на основе групп и проверки проникновения в систему»
Рис. 2. Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки.
Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки

Заключение

Представьте себе, что возможности опытного специалиста по компьютерным расследованиям вы можете получить благодаря загрузочному Linux CD. Это не мечта. Это реальность, если использовать любой из LiveCD, описанных в данной статье. Удачного расследования!

Ресурсы

Научиться

  • Оригинал статьи (EN).
  • "Assess system security using a Linux LiveCD" (EN) (developerWorks, июль 2005) содержит обзор четырех LiveCD, специализирующихся на выявлении уязвимостей систем.
  • "Rock your desktop with entertainment LiveCDs" (EN) (developerWorks, январь 2006) содержит обзор четырех LiveCD, помогающих превратить компьютер с Linux в домашний развлекательный центр.
  • "Back to school with education LiveCDs" (EN) (developerWorks, январь 2006) содержит обзор трех LiveCD для домашнего обучения.
  • "Craft a load-balancing cluster with ClusterKnoppix" (EN) (developerWorks, декабрь 2004) демонстрирует использование LiveCD на основе Knoppix для построения собственного суперкомпьютерного кластера Linux.
  • "Spin up a Linux LiveCD" (EN) (developerWorks, июль 2004) демонстрирует метод запуска или демонстрации Linux без необходимости установки.
  • Будьте в курсе новейших достижений дистрибутивов Linux благодрая DistroWatch.com.(EN)
  • Большое количество ресурсов для разработчиков содержится в разделе developerWorks Linux zone.(EN)
  • Оставайтесь в курсе событий с вебкастами и новостями developerWorks(EN)

Получить продукты и технологии

  • Helix - это дистрибутив на основе Knoppix Live Linux CD, предназначенный для реагирования на инциденты и предоставляющий инструментарий для компьютерно-технической экспертизы.(EN)
  • Plan-B представляет собой загружаемую среду Linux, которая может играть разные роли для техника или сетевого администратора.(EN)
  • PyFlag - это версия FLAG (Forensic and Log Analysis GUI), которая может упростить процесс анализа файлов журналов и компьютерно-технической экспертизы. Для обработки больших объемов информации используется база данных.(EN)
  • The Sleuth Kit (TSK) представляет собой набор инструментов командной строки, основанных на The Coroner's Toolkit (TCT); Autopsy представляет собой графический интерфейс к инструментам командной строки в TSK.(EN)
  • The Coroner's Toolkit (TCT) - это набор программ для анализа систем UNIX после взлома.(EN)
  • BCWipe - это расширенная командная оболочка Windows, предназначенная для безопасного удаления файлов.(EN)
  • With Пробные версии программного обеспечения IBM, которые можно загрузить напрямую с developerWorks, помогут вам в создании нового Linux-проекта.(EN)

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux, Open source
ArticleID=316195
ArticleTitle=Восстановление системы после взлома с помощью LiveCD
publish-date=06242008