 | Уровень сложности: простой Майанк Шарма, технический писатель-фрилансер, Open Sourse Technology Group
24.06.2008 Хотите оценить целостность своей системы Linux® и восстановить потерянные данные без длительной и трудоемкой установки и конфигурирования? Познакомьтесь с двумя пакетами – Helix и Plan-B – которые предоставляют эти возможности с помощью LiveCD.
В предыдущей статье Мэйэнка "Assess system security using a Linux LiveCD" («Оценка безопасности системы с помощью Linux LiveCD») рассматривались LiveCD, снабженные инструментами для оценки защищенности компьютера. Но что делать, если система была взломана и использована для незаконных или неавторизованных действий? Одна из возможностей - это вызов специалиста по компьютерной безопасности. Другая – загрузка инструментов, используемых этими специалистами, изучение и самостоятельное использование возможностей по обеспечению целостности и восстановлению данных. При этом не нужно беспокоиться об установке этих программ – это же LiveCD!
|
О LiveCD
LiveCD представляет собой загрузочный CD-ROM с операционной системой (и дополнительным ПО), с которого ОС можно запустить без необходимости установки. Большинство таких дисков основаны на ядре Linux (но есть LiveCD и для других операционных систем). LiveCD в ходе работы размещает файлы на RAM-диске (уменьшая объем оперативной памяти, доступной другим приложениям, что может снизить производительность). После того, как LiveCD извлечен из CD-ROM и система перезагружена, можно использовать исходную операционную систему. Некоторые LiveCD имеют в составе специальную утилиту, позволяющую установить операционную систему на жесткий диск или USB-диск; большинство LiveCD позволяет получить доступ к информации на внутренних/внешних жестких дисках и модулях флеш-памяти.
Для загрузки LiveCD на основе Linux используется syslinux, а также дискеты с Linux. Для PC загружаемый CD обычно соответствует спецификации EI Torito, которая использует в качестве образа дискеты специальный (возможно, скрытый) файл на диске. Многие LiveCD используют сжатый образ файловой системы, который часто снабжается сжатым драйвером для эффективного использования емкости запоминающего устройства.
Ряд имеющихся на рынке эмуляторов позволяют испытать LiveCD без необходимости его записи на CD или загрузки на компьютер. Самым широко поддерживаемым эмулятором для i386 является VMware. Среди других — Qemu, PearPC и Bochs, которые также могут эмулировать платформы x86 и/или PowerPC®. Однако из-за используемых ими методов эмуляции, они работают медленнее своих коммерческих аналогов. Еще одним коммерческим вариантом является VirtualPC.
|
|
Расследование компьютерных преступлений
Вторжение в компьютеры или компьютерные сети и использование их в качестве прикрытия для противозаконных действий стало обычным делом, настолько обычным, что необходимыми для этого навыками обладают многие люди. Однако способность обнаружить и поймать злоумышленника не столь распространена. Величайший (хотя и вымышленный) сыщик Шерлок Холмс сказал однажды: «Главная ошибка – строить теории до получения всех доказательств. Это искажает факты».
Сбор доказательств со взломанных систем – работа специалистов по компьютерно-технической экспертизе, Шерлоков Холмсов цифровой эпохи. Для сбора сведений о системе, их критической оценки и анализа они используют специализированные инструменты. Неудивительно, что лучшие инструменты для этой работы – программы с открытым исходным кодом. Популярными инструментами, используемыми не только специалистами по безопасности, но и преподавателями курсов по компьютерной безопасности, являются TCT (The Coroner's Toolkit), Sleuth Kit, Autopsy Forensic Browser и FLAG (Forensics Log Analysis GUI).
Helix
Подобно многим специализированным LiveCD, Helix возник тогда, когда появилась соответствующая потребность. Эндрю Фейхи (Andrew Fahey), специалист по безопасности и компьютерным расследованиям, работая в e-fense Inc, взял за основу Knoppix и добавил программы, которые он использовал в своей повседневной работе.
«Мое взаимодействие с пользователями довольно широко. Пользователи присылают мне отклики со всего света. Так как люди используют Helix в различном окружении, много времени отнимает обеспечение безотказной работы в любой ситуации. Вот почему для совершенствования Helix и исправления всех обнаруженных ошибок я полагаюсь на отзывы пользователей. Я также полагаюсь на них в переводах на другие языки», – говорит Эндрю.
Helix имеет интерфейс работы с Windows®, позволяющий подключиться для исследования системы с работающей Windows. Этот интерфейс был переведен на немецкий язык и скоро будет переведен на португальский. Вдобавок, было разработано множество программ для реагирования на компьютерные инциденты. Helix используется многими обучающими организациями, включая National White Collar Crime Center (NW3C), System Administrator Network Security Institute (SANS) и National Consortium for Justice Information and Statistics.
Helix не предназначен для установки на жесткий диск, но в будущих версиях такая возможность может появиться. «Мне бы хотелось видеть уровень абстрагирования от железа, подобный имеющемуся в Fedora. Я давно уже добавил модуль union-fs, который потребовал немало усилий», – замечает Эндрю. Хотя большинство программ, включенных в Helix, были выбраны им лично, некоторые были рекомендованы сообществом. Самая большая проблема - с программами, требующими лицензирования.
В следующей версии будут обновлены работающие и добавлены новые программы Retriever и Adepto, которые Эндрю постоянно использует вместе с программами из Sleuth Kit и PyFLAG.
Рис. 1. Helix, PyFLAG, Adepto и антивирус ClamAV в действии.
Plan-B
Plan-B от Джереми Мак-Дэниэла (Jeremy McDaniel) - это LiveCD для компьютерных расследований, разработанный под влиянием SuperRescue CD от Петера Энвина (Peter Anvin). Он основан на Red Hat 9, использует Blackbox Window Manager и файловую систему zisofs, чтобы уместить на CD в сжатом виде 1,4 Гб данных. LiveCD содержит аналитические средства для проведения расследований (такие как Autopsy, The Sleuth Kit, BCWipe и другие) вместе с обычными программами, такими как почтовые клиенты, браузеры, клиенты чатов и текстовые редакторы. В соответствии с Web-сайтом проекта:
«В следующей версии будет обновлена большая часть (если не все) имеющегося ПО, добавлено ядро 2.6 и сделан переход на Fedora. В качестве основной базы данных для нового сервера приложений будет использован MySQL. В планах — работа по созданию модуля безопасности/аудита/планирования на основе eServer™. Со временем продукт будет выпущен в виде самостоятельного приложения. Plan-B будет служить просто в качестве мобильного решения для тестирования. Это будет инструмент с возможностью создания отчетов для аудита на основе групп и проверки проникновения в систему»
Рис. 2. Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки.
Заключение
Представьте себе, что возможности опытного специалиста по компьютерным расследованиям вы можете получить благодаря загрузочному Linux CD. Это не мечта. Это реальность, если использовать любой из LiveCD, описанных в данной статье. Удачного расследования!
Ресурсы Научиться
Получить продукты и технологии
-
Helix - это дистрибутив на основе Knoppix Live Linux CD, предназначенный для реагирования на инциденты и предоставляющий инструментарий для компьютерно-технической экспертизы.(EN)
-
Plan-B представляет собой загружаемую среду Linux, которая может играть разные роли для техника или сетевого администратора.(EN)
-
PyFlag - это версия FLAG (Forensic and Log Analysis GUI), которая может упростить процесс анализа файлов журналов и компьютерно-технической экспертизы. Для обработки больших объемов информации используется база данных.(EN)
-
The Sleuth Kit (TSK) представляет собой набор инструментов командной строки, основанных на The Coroner's Toolkit (TCT); Autopsy представляет собой графический интерфейс к инструментам командной строки в TSK.(EN)
-
The Coroner's Toolkit (TCT) - это набор программ для анализа систем UNIX после взлома.(EN)
-
BCWipe - это расширенная командная оболочка Windows, предназначенная для безопасного удаления файлов.(EN)
-
Закажите SEK Linux - набор из двух DVD-дисков с новейшим программным обеспечением IBM (пробные версии) для Linux от DB2®, Lotus®, Rational®, Tivoli® и WebSphere®.(EN)
-
With Пробные версии программного обеспечения IBM, которые можно загрузить напрямую с developerWorks, помогут вам в создании нового Linux-проекта.(EN)
Обсудить
Об авторе | | |
Майанк Шарма (Mayank Sharma) - редактор Open Source Technology Group (OSTG), подразделение VA Linux, и публикуется главным образом на поддерживаемых OSTG сайтах NewsForge и Linux.com. Он также пишет для ежемесячной колонки в Packt Publishing. Кроме того, он в качестве приглашенного лектора ведет курсы в Индийском технологическом институте в Дели на темы, связанные с открытыми исходными кодами. |
Выскажите мнение об этой странице
| |
