Содержание


Восстановление системы после взлома с помощью LiveCD

Два средства обнаружения вторжения в систему и восстановления важных данных

Comments

В предыдущей статье Мэйэнка "Assess system security using a Linux LiveCD" («Оценка безопасности системы с помощью Linux LiveCD») рассматривались LiveCD, снабженные инструментами для оценки защищенности компьютера. Но что делать, если система была взломана и использована для незаконных или неавторизованных действий? Одна из возможностей - это вызов специалиста по компьютерной безопасности. Другая – загрузка инструментов, используемых этими специалистами, изучение и самостоятельное использование возможностей по обеспечению целостности и восстановлению данных. При этом не нужно беспокоиться об установке этих программ – это же LiveCD!

Расследование компьютерных преступлений

Вторжение в компьютеры или компьютерные сети и использование их в качестве прикрытия для противозаконных действий стало обычным делом, настолько обычным, что необходимыми для этого навыками обладают многие люди. Однако способность обнаружить и поймать злоумышленника не столь распространена. Величайший (хотя и вымышленный) сыщик Шерлок Холмс сказал однажды: «Главная ошибка – строить теории до получения всех доказательств. Это искажает факты».

Сбор доказательств со взломанных систем – работа специалистов по компьютерно-технической экспертизе, Шерлоков Холмсов цифровой эпохи. Для сбора сведений о системе, их критической оценки и анализа они используют специализированные инструменты. Неудивительно, что лучшие инструменты для этой работы – программы с открытым исходным кодом. Популярными инструментами, используемыми не только специалистами по безопасности, но и преподавателями курсов по компьютерной безопасности, являются TCT (The Coroner's Toolkit), Sleuth Kit, Autopsy Forensic Browser и FLAG (Forensics Log Analysis GUI).

Helix

Подобно многим специализированным LiveCD, Helix возник тогда, когда появилась соответствующая потребность. Эндрю Фейхи (Andrew Fahey), специалист по безопасности и компьютерным расследованиям, работая в e-fense Inc, взял за основу Knoppix и добавил программы, которые он использовал в своей повседневной работе.

«Мое взаимодействие с пользователями довольно широко. Пользователи присылают мне отклики со всего света. Так как люди используют Helix в различном окружении, много времени отнимает обеспечение безотказной работы в любой ситуации. Вот почему для совершенствования Helix и исправления всех обнаруженных ошибок я полагаюсь на отзывы пользователей. Я также полагаюсь на них в переводах на другие языки», – говорит Эндрю.

Helix имеет интерфейс работы с Windows®, позволяющий подключиться для исследования системы с работающей Windows. Этот интерфейс был переведен на немецкий язык и скоро будет переведен на португальский. Вдобавок, было разработано множество программ для реагирования на компьютерные инциденты. Helix используется многими обучающими организациями, включая National White Collar Crime Center (NW3C), System Administrator Network Security Institute (SANS) и National Consortium for Justice Information and Statistics.

Helix не предназначен для установки на жесткий диск, но в будущих версиях такая возможность может появиться. «Мне бы хотелось видеть уровень абстрагирования от железа, подобный имеющемуся в Fedora. Я давно уже добавил модуль union-fs, который потребовал немало усилий», – замечает Эндрю. Хотя большинство программ, включенных в Helix, были выбраны им лично, некоторые были рекомендованы сообществом. Самая большая проблема - с программами, требующими лицензирования.

В следующей версии будут обновлены работающие и добавлены новые программы Retriever и Adepto, которые Эндрю постоянно использует вместе с программами из Sleuth Kit и PyFLAG.

Рис. 1. Helix, PyFLAG, Adepto и антивирус ClamAV в действии.
Helix, PyFLAG, Adepto и антивирус ClamAV в действии
Helix, PyFLAG, Adepto и антивирус ClamAV в действии

Plan-B

Plan-B от Джереми Мак-Дэниэла (Jeremy McDaniel) - это LiveCD для компьютерных расследований, разработанный под влиянием SuperRescue CD от Петера Энвина (Peter Anvin). Он основан на Red Hat 9, использует Blackbox Window Manager и файловую систему zisofs, чтобы уместить на CD в сжатом виде 1,4 Гб данных. LiveCD содержит аналитические средства для проведения расследований (такие как Autopsy, The Sleuth Kit, BCWipe и другие) вместе с обычными программами, такими как почтовые клиенты, браузеры, клиенты чатов и текстовые редакторы. В соответствии с Web-сайтом проекта:

«В следующей версии будет обновлена большая часть (если не все) имеющегося ПО, добавлено ядро 2.6 и сделан переход на Fedora. В качестве основной базы данных для нового сервера приложений будет использован MySQL. В планах — работа по созданию модуля безопасности/аудита/планирования на основе eServer™. Со временем продукт будет выпущен в виде самостоятельного приложения. Plan-B будет служить просто в качестве мобильного решения для тестирования. Это будет инструмент с возможностью создания отчетов для аудита на основе групп и проверки проникновения в систему»
Рис. 2. Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки.
Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки
Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки

Заключение

Представьте себе, что возможности опытного специалиста по компьютерным расследованиям вы можете получить благодаря загрузочному Linux CD. Это не мечта. Это реальность, если использовать любой из LiveCD, описанных в данной статье. Удачного расследования!


Ресурсы для скачивания


Похожие темы

  • Оригинал статьи (EN).
  • "Assess system security using a Linux LiveCD" (EN) (developerWorks, июль 2005) содержит обзор четырех LiveCD, специализирующихся на выявлении уязвимостей систем.
  • "Rock your desktop with entertainment LiveCDs" (EN) (developerWorks, январь 2006) содержит обзор четырех LiveCD, помогающих превратить компьютер с Linux в домашний развлекательный центр.
  • "Back to school with education LiveCDs" (EN) (developerWorks, январь 2006) содержит обзор трех LiveCD для домашнего обучения.
  • "Craft a load-balancing cluster with ClusterKnoppix" (EN) (developerWorks, декабрь 2004) демонстрирует использование LiveCD на основе Knoppix для построения собственного суперкомпьютерного кластера Linux.
  • "Spin up a Linux LiveCD" (EN) (developerWorks, июль 2004) демонстрирует метод запуска или демонстрации Linux без необходимости установки.
  • Helix - это дистрибутив на основе Knoppix Live Linux CD, предназначенный для реагирования на инциденты и предоставляющий инструментарий для компьютерно-технической экспертизы.(EN)
  • Plan-B представляет собой загружаемую среду Linux, которая может играть разные роли для техника или сетевого администратора.(EN)
  • PyFlag - это версия FLAG (Forensic and Log Analysis GUI), которая может упростить процесс анализа файлов журналов и компьютерно-технической экспертизы. Для обработки больших объемов информации используется база данных.(EN)
  • The Sleuth Kit (TSK) представляет собой набор инструментов командной строки, основанных на The Coroner's Toolkit (TCT); Autopsy представляет собой графический интерфейс к инструментам командной строки в TSK.(EN)
  • The Coroner's Toolkit (TCT) - это набор программ для анализа систем UNIX после взлома.(EN)
  • BCWipe - это расширенная командная оболочка Windows, предназначенная для безопасного удаления файлов.(EN)
  • Будьте в курсе новейших достижений дистрибутивов Linux благодрая DistroWatch.com.(EN)
  • Большое количество ресурсов для разработчиков содержится в разделе developerWorks Linux zone.(EN)
  • With Пробные версии программного обеспечения IBM, которые можно загрузить напрямую с developerWorks, помогут вам в создании нового Linux-проекта.(EN)

Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux, Open source
ArticleID=316195
ArticleTitle=Восстановление системы после взлома с помощью LiveCD
publish-date=06242008