Image
8.3.2013 0 Comments

Súčasné trendy vo vyšetrovaní hackerských prienikov

Technológia a hackerské útoky

Informačné technológie zmenili náš život a umožnili zefektívnenie komunikácie na medzinárodnej úrovni. Rozvoj Internetu ako globálnej počítačovej siete umožnil vznik rozhraní pre užívateľov, na ktorých je možné sa zabaviť, nakúpiť, a riadiť svoj súkromný finančný život cez počítač pripojený k tejto komplexnej sieti. Vznikli komerčné internetové webové stránky a v súčasnej dobe veľmi často spomínaný Web 2.0[1]. Tým sa vytvorilo prirodzené prostredie pre kriminalitu, ktorá presahuje hranice štátov a ich zákonov. Dá sa povedať, že tvorcovia Internetu pozabudli na jeho bezpečnosť. Technológia často predbehla medzinárodné skupiny zamerané na ochranu súkromia a osobných údajov[2], medzinárodné zákony o ochrane dát, či zákony o spolupráci na vyšetrovaní.

Na vyšetrovanie čoraz frekventovanejších prípadov elektronickej kriminality vznikli vo svete špeciálne jednotky digitálnych forenzných vyšetrovateľov. Je nutné mať zaškolený personál a expertov na počítačovú ochranu priamo medzi vlastnými zamestnancami. Naše semináre http://www.fibamo.eu/sk/skolenia Vám môžu poslúžiť ako dobrý školiaci základ pre Vašich počítačových expertov. Takisto je veľmi dôležité vedieť si vhodne vybrať odborníka pre vyšetrovanie incidentu, takzvaného incident manažéra (z angl. „incident handler"). Jeho náplňou je potvrdiť hackerský prienik, vybrať vhodný tím, a riadiť vyšetrovanie. Často je nutné pomôcť klientovi v zabezpečení počítačovej siete a čo najrýchlejšom uzavretí bezpečnostnej diery, ktorá prienik spôsobila. Incident manažér má na svojich pleciach nielen zodpovednosť za vyšetrovanie, ale hlavne musí reagovať na nové nálezy artefaktov po prieniku, a robiť rýchle rozhodnutia na prevenciu ďalšieho úniku dát. Tieto rozhodnutia majú veľkú právnu zodpovednosť, a môžu sa stať aj predmetom súdneho sporu.

Trendy vo vyšetrovaní

Motívy hackerov sú rôzne, najčastejšie je to faktor profitu či dokazovanie si schopnosti prieniku. Zábava je tiež jedným z motívov, aj keď relatívne sporadickým. Firemná špionáž sa stala mimofilmovou záležitosťou agentov typu 007. Ukradnuté dáta sa ponúkajú za vysoké ceny, napríklad v oblastiach farmaceutického priemyslu a vývoja nových liekov, či údajov o nových náleziskách pre energetický priemysel na verejných dražbách. Rozmohli sa útoky na systémy, kde sú uložené čísla kreditných kariet a ich nasledovné zneužitie na platby cez Internet, ukradnutie identity a následné otvorenie paralelnej identity využiteľnej na rôznu kriminálnu činnosť a podobne[3]. Skoro samostatná kategória sú hacknuté systémy pre účely posielania spamu na Internete.

Úroveň technologickej prepracovanosti prenikov do počítačových systémov stúpa, a hackeri plne využívajú technológiu v dimenziách, o ktorých jej navrhovatelia ani len nepomysleli[4]. Ak si pozrieme štatistiku prienikov od firmy Verizon [5], tak vidíme, že najčastejším internetovým prienikom je prístup cez počiatočné („default") nastavenia a neexistujúce, respektíve slabé heslá a tzv. "SQL injections"[6]. Hlavne „SQL injection" je skoro najčastejším hackerským útokom proti systémom, ktoré spracúvajú kreditné karty[7]. Na Internete je relatívne ľahko dostupné značné množstvo zdrojového hackerského kódu. Vznikli aj projekty, ktoré priamo ponúkajú moduly pre penetračné testy, a tieto sú často zneužité na hackovanie, ako napríklad Metasploit[8].

Po úspešnom prieniku hackeri často využívajú trójske kone, rootkits, alebo základné služby operačného sytému na prístup do kompromitovaného zariadenia, akým je napríklad diaľková správa v operačnom systéme Windows. Hackeri „krekujú" (z angl. „crack") heslá, a vytvárajú pavučinu hacknutých zariadení pre ďalší prístup. Programy sa zobúdzajú v čase špecifikovanom hackermi, inicializujú prístup, a ostávajú v pamäti iba krátky čas. Tieto programy nie sú detekované antivírusovým programom a sú často „zabalené" v kódovanom obale (z angl. „morphine packer")[9], čo ešte viac znemožňuje detekovanie. Mnohé prieniky netrvajú dlhšie ako päť minút a hackeri nasledovne ostávajú v sieti aj niekoľko mesiacov.

S praxe sa ukazuje, že klasické vyšetrovanie digitálnych médií po hackerskom prieniku už v súčasnej dobe nemusí byť dostačujúce. Súčasné forenzné vyšetrovacie skupiny pozostávajú z forenzných vyšetrovateľov digitálnych médií, špecialistov na sieťovú komunikáciu a jej forenznú analýzu, špecialistov na reverzné binárne inžinierstvo nájdených programov, právnikov a incident manažérov. Pomerne často pri príchode vyšetrovacieho tímu útok stále ešte pokračuje a je potrebné ho čo najskôr zastaviť. Hackeri už štandardne využívajú rôzne anti-forenzné techniky na zahladenie stôp.

Digitálne médiá sa stále vyšetrujú, rovnako ako aj v minulosti, z vytvorených digitálnych obrazov. V dnešnej dobe ešte pribudli forenzné obrazy pamäte počítača, a zosnímanie a uloženie prechodných dát ešte pred vypnutím počítača. Vznikli programy na analýzu forenzných artefaktov ako "Restore points"[10] a "Prefetch files"[11], ktorým sa v minulosti nevenovala zvýšená pozornosť.

Distribúcie operačných systémov ako Helix[12] ponúkajú kolekciu programov na vyšetrovanie a uchovanie procesov, pamäte, či rôzne iné analýzy pred vypnutím skúmaného systému. Analýza pamäte počítača môže často viesť k rýchlym výsledkom a posunúť prípad do inej roviny[13]. Je možné, že hackerský program žije iba v pamäti počítača, ako napríklad Witty Worm[14]. Na analýzu a prezerváciu pamäte je dosť často používaný Memoryze[15], voľne šíritelná utilita od firmy Mandiant.

Sieťové analýzy vyžadujú dobrú znalosť sieťových protokolov a ich rekonštrukcie. V súčasnosti neexistujú voľne šíriteľné celkové riešenia, a komerčné zariadenia sú finančne náročné. Známou sú firmy Niksun[16] a Netwitness[17], a ich riešenia si môže čitateľ pozrieť na ich webových stránkach. Nevýhodou sieťovej analýzy je, že strata dát pri nahrávaní môže mať za následok, že dáta sa nedajú zrekonštruovať a analyzovať. Sieťová analýza ponúka novú dimenziu informácii pre vyšetrovateľa v prípade, keď sú nájdené iba zlomky forenzných artefaktov na digitálnom médiu, a program už neexistuje v pamäti počítača. Hackeri začínajú preto používať kryptovanie prenosu sieťovej komunikácie, čo môže značne, ak nie úplne znemožniť sieťové vyšetrovanie. Na prenos sa využívajú internetové webové porty, a programy sa pripájajú sa na webové hackerské portály cez príkazy známe iba hackerom. Logy z kompromitovaných systémov, ak existujú, môžu pomôcť vyšetrovateľovi získať ďalšie informácie o útoku, a často aj jeho technické detaily.

Anti-forenzné techniky sa vyskytujú čoraz častejšie, používaná je hlavne manipulácia času a dátumu inštalácie hackerských programov, čo znemožňuje priamo zo súborového systému získať cenné informácie o časovej chronológii útoku, napríklad program Timestomp[18]. Zaujímavé je aj ukladanie dát do iných súborov alebo do nepoužitých miest na disku, motivačným exemplárom je program Slacker[19]. Hackeri využívajú aj programy na bezpečné mazanie dát, a následne defragmentujú celý počítačový systém. Takýto postup zničí väčšinu forenzných artefaktov na digitálnom médiu. Hackerské programy znefunkčia často ochranu počítača, a detekujú prácu užívateľa, a dokonca aj vyšetrovateľa.

Záver

Súčasný trend hackerských útokov si vyžaduje digitálne vyšetrovanie na viacerých úrovniach, nielen klasické analýzy digitálnych médií a ich obrazov. Ukazuje sa, že mnohí incident manažéri volia kombináciu digitálneho vyšetrovania so sieťovou a prechodnou dátovou analýzou. Útoky budú aj naďalej využívať nepripravenosť bezpečnostných tímov na ich detekciu a využívať bezpečnostné diery v systémoch, hlavne webových rozhraniach. Dá sa očakávať, že so zhoršujúcou sa ekonomickou situáciou a svetovou globalizáciou konkurenčné firmy budú čoraz častejšie vyhľadávať hackerské služby na rôzne kriminálne činnosti[20]. Každým dňom sa počet používateľov na Internete zvyšuje a ich počiatočná uvedomelosť o počítačovej bezpečnosti nedosahuje dostatočný stupeň. Ani šéf FBI už nevie rozlíšiť pravý e-mail, a manželka mu radšej zakáže online banking[21]. Dodávatelia forenznej techniky budú musieť rýchlejšie zohľadniť tieto faktory do hardvérových a softvérových riešení na podporu vyšetrovania.


[1] Web 2.0, http://en.wikipedia.org/wiki/Web_2.0

[2] Personally Identifiable Information, http://en.wikipedia.org/wiki/Personally_identifiable_information

[3] Kroll Global Fraud Report, http://www.kroll.com/about/library/fraud/oct2009/

[4] Kevin Mandia, Black Hat Briefing 2006, http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Mandia.pdf

[5] Verizon 2009 Data Breach Investigations Report, http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

[6] SQL injection, http://en.wikipedia.org/wiki/SQL_injection

[7] Lessons from the Data Breach at Heartland, Júl 2009, Business Week, http://www.businessweek.com/technology/content/jul2009/tc2009076_891369.htm

[8] Metasploit, http://www.metasploit.com/

[9] Hosmer Polymorphic Malware, http://www.blackhat.com/presentations/bh-usa-08/Hosmer/BH_US_08_Hosmer_Polymorphic_Malware.pdf

[10] Restore points, http://en.wikipedia.org/wiki/System_Restore#Restore_points

[11] Prefetcher, http://en.wikipedia.org/wiki/Prefetcher

[12] Helix Boot CD, http://www.e-fense.com/products.php

[13] Physical Memory Forensic, Mariusz Burdach, Black Hat Briefing 2006, http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Burdach.pdf

[14] Witty worm, http://en.wikipedia.org/wiki/Witty_%28computer_worm%29

[15] Memoryze, Mandiant, http://www.mandiant.com/software/memoryze.htm

[16] Niksun, http://www.niksun.com/

[17] Netwitness, http://www.netwitness.com/

[18] Timestomp, http://www.metasploit.com/research/projects/antiforensics/

[19] Slacker, http://www.metasploit.com/research/projects/antiforensics/

[20] Hacker Hit Men for Hire, Business Week, May 2001, http://www.businessweek.com/bwdaily/dnflash/may2001/nf2001053_930.htm

[21] Wife bans FBI head from online banking, Cnet, Október 2009, http://news.cnet.com/8301-27080_3-10370164-245.html


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Biznis

Šiesty ročník STARTUP AWARDS pozná víťazov a obsahom aj návštevnosťou prekonal všetky predchádzajúce

06.12.2016 00:15

Tohtoročné Startup Awards, ktoré sa konali v piatok 2. decembra v bratislavskom Istropolise, už majú svojich víťazov. V súťaži vyberala zahraničná odborná porota spomedzi dvanástich nápadov celkom v š ...

Biznis

Amazon bude prevážať dáta v kamiónoch. Chce tak ušetriť čas

05.12.2016 10:02

Na svojej používateľskej konferencii re:Invent predstavil Amazon nový spôsob, ako môžu zákazníci presúvať veľké objemy dát do jeho cloudovej služby Amazon Web Services (AWS). Pre veľké firmy, ktoré c ...

Biznis 1

Xiaomi vraj neutrpí poklesom predaja smartfónov, živia ho iné zdroje

02.12.2016 00:19

Prepad predaja smartfónov na čínskom trhu nebude mať významný dosah na spoločnosť Xiaomi, pretože bude kompenzovaný predajom inteligentných domácich spotrebičov a príjmami zo softvéru. Povedal to star ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá