книги / Теория и практика борьбы с компьютерной преступностью
..pdfиспользуется соответствующее антивирусное и вирусодетектирующее про граммное обеспечение.
Рис. 3.2.5
С целью получения образцов для последующего сравнительного иссле дования (файлов), успешного проведения данного и последующих действий и недопущения нанесения вреда системе необходимо произвести полное ре зервное копирование файлов сетевой среды на внешние носители информа ции (магнитные ленты, магнитооптические или оптические диски).
Менее надежно копирование на дискеты или устройства типа IomegaZIP Drive, которые отличаются более низкой скоростью записи и надежно стью хранения информации.
Для нераспространения заражения на другие ЭВМ при проведении ре зервного копирования необходимо использовать только собственные, предварительно проверенные и подготовленные носители.
Полная копия данных в дальнейшем изымается для приобщения к делу и детального исследования в качестве вещественного доказательства. Следо вателем истребуются предыдущие резервные копии для последующего экс пертного исследования в лабораторных условиях.
Затем проводится антивирусное тестирование. Специалист (эксперт) должен учитывать, что определенные в результате тестирования заражен ные файлы не должны «вылечиваться». Факты обнаружения вредоносных программ только фиксируются, а зараженные файлы в дальнейшем будут переданы эксперту для дальнейшего исследования с целью установления:
■ групповой принадлежности обнаруженных вирусов;
а их распространенности в сетевых средах других организаций;
*вредоносных последствий их использования;
*оценки даты их написания и степени квалификации злоумышленника, создавшего и (или) внедрившего данный программный код.
По окончании перечисленных действий специалистом (в присутствии понятых) (экспертом - без присутствия понятых) проводится аудит компь ютерной системы (систем).
Значимость аудита состоит в том, что его проведение позволяет полу чить криминалистическую1 информацию обо всех изменениях, происхо дивших в сетевой среде (рис. 3.2.6).
! Оценка внешних файловых следов, поиск частей файлов (при необходимости) !
Рис. 3.2.6
Оценка внешних файловых следов (атрибутов файлов, их размеров, ти па, имен, расширений, времени создания и (или) модификации) производит ся специалистом (в присутствии понятых) по поручению следователя с ис пользованием специальных программных средств по окончании аудита (экспертом при проведении экспертного исследования - непосредственно на месте происшествия самостоятельно), т. е. когда будет собрана достаточно
1 Под криминалистической информацией в данном контексте понимаются «лю бого рода сведения, относящиеся к расследуемому событию, полученные процессу альным и непроцессуальным путем в процессе расследования следователем в соот ветствии с рекомендациями, разработанными криминалистикой, могущие быть доказательствами по делу или способствующие их получению и принятию мер для пред) преждения и пресечения других преступлений» [1 35, с 9]
полная информация как о самих компьютерных системах, так и о событиях, предшествовавших совершению компьютерного преступления.
В таком случае, например, для уточнения следственных или иных вер сий, формулируемых в процессе осмотра места происшествия, может пона добиться также производство поиска удаленных файлов либо частей фай лов, которые были каким-то образом удалены либо приведены в негодность до начала производства осмотра либо удалены случайно во время его про ведения. Подробное исследование файловых следов должно проводиться экспертом в лабораторных условиях.
§ 2.5. Криминалистическое исследование операционных систем
WINDOWS
При проведении аудита возможно использование встроенных возможно стей Windows NT по регистрации и отображению:
■пользователей, получивших доступ к объекту;
■типа попытки доступа;
■успешности доступа (был ли доступ успешным или нет).
Для доменов все регистрируемые события записываются в журнал реги страции событий защиты на контроллере домена и относятся к событиям, произошедшим либо на контроллере, либо на всех серверах домена. На ра бочих станциях все регистрируемые события заносятся в журнал регистра ции событий защиты рабочей станции. Журналы регистрации событий за щиты можно просмотреть, выбрав из меню Log утилиты Event Viewer ко манду Security. Windows NT обеспечивает аудит на уровне системных событий и на объектном уровне для доступа к файлам и каталогам. Первый уровень устанавливается в User Manager любым пользователем с привиле гией Manage Auditing and Security Log. Второй определяется в File Manager.
При осмотре серверов с целью обнаружения следов компьютерного пре ступления специалистом производится проверка трех журналов занесения событий, относящихся к системе, защите и приложениям:
■в системный журнал (system log) заносятся ошибки, предупреждения или информация от системы Windows NT Server;
■в журнал защиты (security log) - сообщения об удачных и неудачных попытках регистрации, а также события, связанные с использованием ресурсов, такие, как создание, открытие или удаление файлов или дру гих объектов;
■в журнал приложений (application log) - ошибки, предупреждения и ин формация от выполняемых приложений, таких, как электронная почта или СУБД.
Все три журнала хранятся в одном подкаталоге: <systemroot>\\system32 \config - в трех файлах, соответственно:
■SysEvent.evt;
■SecEvent.evt;
■AppEvent.evt.
Информация о событиях хранится на диске в бинарном виде. Для про смотра журнала используется команда Security в Event Viewer меню Log.
Следователю необходимо истребовать, осмотреть и предоставить в рас поряжение специалиста (эксперта) документы, регламентирующие правила архивирования журналов регистрации. В табл. 3.2.1 приведены опции за полнения журнала и их объяснение.
|
Таблица 3.2.1 |
Опциязаполнения |
Значение |
Overwrite Events as needed |
Если выбрано это значение, то при переполнении журна |
|
ла новые записи будут замещать старые. Опция установ |
|
лена по умолчанию |
Overwrite Events Older then x |
Эта опция используется при регулярном архивировании |
Days |
журнала. По умолчанию устанавливается 7 дней |
Do not Overwrite Events |
Гарантирует сохранное! ь всех записей. Требуется ручная |
|
очистка журнала |
Специалисту (эксперту) следует знать, что для предотвращения останов ки системы при переполнении журнала в реестре устанавливается флажок
НКЕYLOCALMA CHINE\System\CurrentControîSetIControl\Lsa1CrashOnAud itFail. Если этот флажок установлен и система по какой-либо причине не может сделать запись в журнал, она остановится. Если флажок не установ лен, то при переполнении журнала система выдает сообщение The Security Log file is full.
Наибольший интерес при рассмотрении вопроса о целостности системы представляют события, регистрируемые в журнале защиты. Доступ к нему защищен через список контроля доступа. Журналы защиты в системах рас положены, как правило, на разделе NTFS, чтобы можно было использовать списки контроля доступа. Полное имя файла журнала защиты <systemroot> \system32\config\secevent.evt.
Журнал защиты содержит заголовок и номер версии, расположенные в начале каждого файла журнала. При показе события и подробной инфор
мации отображается также информация из заголовка журнального файла. События могут быть отсортированы по элементам заголовка. Описание па раметров заголовка журнала приводится в табл. 3.2.2.
|
Таблица 3.2.2 |
Элемент |
Значение |
заголовка |
|
Date |
Дата, когда произошло событие |
Time |
Время, когда произошло событие |
Source |
Имя системы, породившей событие. Для записей сообщений защиты |
|
это всегда Security |
Category |
Классификация события источником событий. К категориям защиты |
|
относятся Logon, Logoff, Policy Change, Privilege Use, System Event, |
|
Object Access, Detailed Tracking, Account Management |
Event ID |
Уникальный идентификатор события, зависящий от модуля |
User |
Трансляция SID-субъекта, породившего событие, в имя бюджета. Это |
|
имя является олицетворением ID-клиента, если субъект олицетворя |
|
ет клиента, или же имя первичного ID, если не олицетворяет |
Computer |
Имя компьютера, на котором порождено событие |
Event Type (в |
Указывает, была ли попытка удачной или неудачной, в зависимости |
режиме подроб |
от того, был ли установлен аудит удачных или неудачных попыток |
ного просмотра) |
|
Дополнительно к перечислению по их идентификатору события в жур нале защиты перечислены по категориям. В табл. 3.2.3 приводятся катего рии событий данного журнала и их значения.
|
Таблица 3.2.3 |
Категория |
Значение |
Account Management |
Описывает высокоуровневые изменения в базе учетных запи |
(управление пользова |
сей пользователей, такие, как создание новой учетной записи |
телями и группами) |
или изменения членства в группе. Возможно также выполнение |
Detailed Tracking (от |
более подробного аудита на объектном уровне |
Предоставляет подробную информацию об отслеживании |
|
слеживание процес |
субъектов. Сюда включена такая информация, как активизация |
сов) |
программы, повторение указателя на программу и неявный |
Logon/Logoff (регист |
доступ к объекту |
Описывает однократные попытки регистрации или выхода из |
|
рация и выход) |
системы и степень успешности. В описание каждой попытки ре |
|
гистрации входит указание на тип запрашиваемой или выпол |
|
ненной регистрации; интерактивная, сетевая или регистрация |
|
сервиса |
Категория |
Значение |
Object Access (доступ к Описывает как удачные, так и неудачные попытки доступа |
|
файлам и объектам) |
к защищенным объектам |
Policy Change (измене |
Описывает как высокоуровневые изменения в политике защи |
ния в политике защи |
ты, такие, как назначение привилегий или возможностей реги |
ты) |
страции. Возможно проведение более подробного аудита на |
Privilege Use (исполь |
объектном уровне |
Описывает как удачные, так и неудачные попытки использова |
|
зование привилегий |
ния привилегий. В журнал также включается информация о том, |
пользователя) |
когда были назначены некоторые специальные привилегии. |
|
Эти специальные привилегии регистрируются только при на |
System Event (измене |
значении, а не во время использования |
Указывает на нечто, затрагивающее защищенность всей систе |
|
ния в политике защи |
мы в целом или при записи в журнал |
ты) |
|
Мониторинг деятельности удаленных пользователей осуществляется при помощи программы Event Viewer. События, связанные с удаленным досту пом, чрезвычайно важны с точки зрения обнаружения попыток несанкцио нированного подключения к системе извне.
NETWARE
Система аудита Netware обладает следующими особенностями:
■файлы протоколов аудита представляются и управляются как объекты NDS;
■доступ к информации, связанной с аудитом, контролируется с помощью обычных прав доступа к каталогам NDS;
■конфигурация системы аудита выполняется на уровне контейнера и тома;
■правила проведения аудита для контейнера или тома определяют, что проверяется в рамках контейнера или тома и какие пользователи подле жат проверке.
Аудитор уполномочен контролировать и анализировать события, проис ходящие в NDS (начиная с определенного контейнера). Доступ осуществля ется всегда на уровне тома. Аудитор имеет возможность протоколировать и анализировать события в сети, не имея при этом права доступа к контроли руемым объектам (контейнерам и файлам). Единственными файлами, кото рые при этом разрешено анализировать аудитору, являются сгенерирован ные им самим файлы данных {Audit Data) и протоколы {Audit History).
При осуществлении аудита на томе все события делятся на три категории:
■аудит по типу событий;
■аудит по файлам (директориям);
•аудит по пользователям.
При назначении аудита на контейнер можно задать аудит по типу собы тий в NDS или аудит всех событий в NDS, связанных с конкретным пользо вателем. В первом случае аудиту подвергается конкретный класс событий в заданном контейнере, во втором - все действия конкретного пользователя, который подвергается аудиту.
Система аудита Netware способна отслеживать и фиксировать все соот ветствующие сетевые транзакции. Она определяет, кто из пользователей выполнил транзакцию и в какое время. Netware обеспечивает высокий уро вень детализации данных аудита. При этом существует возможность опре деления событий, подлежащих аудиту, управление конфигурацией системы аудита и доступов данных аудита.
При помощи утилиты системного аудита AUDITCON возможно прове дение мониторинга событий на сервере. Файлы аудита для тома хранятся в корневом каталоге под именем NETSAUDT.DAT. Параметры конфигурации аудита хранятся в файле NET$A UDT. CFG. Если создается новый файл ауди та на диске, то старый сохраняется на диске под именем NETSA UDT.OLD.
U N IX
Команда last выполняет проверку регистрационных записей и способна выводить данные о последней регистрации для конкретного пользователя или терминала. В создаваемом файле отчета указывается следующая ин формация:
■имя пользователя;
■терминал, с которого пользователь начал сеанс работы в системе;
■время начала и окончания работы;
■общее время работы.
При аудите операционных систем HP-UX 10.x и IBM AIX 4.2 возможно применение пакета программ учета ресурсов (System Accounting Package) с использованием демона cron для управления периодическим сбором стати стических данных и составления отчетов. Если опция учета ресурсов систе мы включена, то после инициализации системы начинается сбор статисти ческих данных; процесс сбора данных охватывает следующие категории:
■статистику сеансов связи;
■использование процессов;
■расходование дискового пространства;
■использование принтера.
Процесс учета начинается со сбора статистических данных, на основании которых генерируются итоговые отчеты. Эти отчеты впоследствии могут быть использованы для анализа и оценки работы операционной системы.
Статистика сеансов связи
При входе пользователя в систему программа login создает запись в фай ле /var/adm/wtmp. Эта запись содержит следующую информацию:
*имя пользователя; » дату входа-выхода;
*время входа-выхода;
■порт терминала.
Указанная информация используется для создания отчетов, включающих:
■дату и время установления соединения;
■идентификатор пользователя;
■регистрационное имя пользователя;
*основное время соединения;
■адрес устройства, предоставившего соединение.
Использование процессов
Возможен сбор следующих данных об отдельных процессах:
" использование памяти;
■продолжительность работы процесса и израсходованное процессорное время;
■первые восемь символов имени команды;
■имена пользователей и групп, для которых выполнялся процесс;
■статистика ввода-вывода;
■число переданных символов;
*число блоков диска, считанных или записанных для процесса и др.
Статистическая информация о выполненных процессах хранится в файле учета /var/adm/pact. Этот файл содержит:
■идентификатор пользователя - владельца процесса;
■команду запуска процесса;
■время выполнения процесса.
Генерирование отчетов по данным учета ресурсов системы
Утилита acctcom - позволяет осуществлять просмотр данных по учету в любое время. Позволяет выводить усредненные статистические данные о процессах, соотношении времени пользователя и общего времени, отобра жать процессы определенных пользователей. Эта команда дает отчет из системы без необходимости поиска файла.
Ежедневные автоматические отчеты
Daily Report (ежедневный отчет) - отображает использование портов системы. Находится в каталоге /var/adm/acct/nite. Это файлы в формате ASCII, называемые lineuse. Отчет может содержать следующую информа цию:
MINUTES - количество минут активного состояния порта за текущий день;
#SESS - число доступов к порту для входа в систему;
#ON - число раз, когда порт применялся для входа в систему;
#OFF - число выходов из системы, обработанных портом, и число прерыва ний, подобных Ctrl-C.
Daily Usages Report (ежедневный отчет о пользовании) - находится в ка талоге /var/adm/acct. Этот двоичный файл по имени daytacct, к которому осуществляется доступ посредством команды учета prtacct, содержит сле дующую информацию:
UIN - идентификатор пользователя;
LOGIN NAME - регистрационное имя пользователя;
CPU PRIME - время использования процессора программой;
KCORE PRIME - размер памяти, использованной для выполнения программы;
#OF PROCS - число процессов, выполненных пользователем;
#OF SESS - число сеансов, организованных пользователем путем входа в систему.
Daily Command Summary Report (ежедневная сводка команд) и Total Command Summary Report (общая сводка команд) - находятся соответст венно в каталоге /var/adm/acct/nite (файл dayems в формате ASCII) и в ката логе /var/adm/acct/sum (файл ems в формате ASCII). Они содержат следую щую информацию:
COMMAND NAME - имя команды;
NUMBER COMMANDS - общее количество выполнений команды;
REAL MIN - действительное время выполнения;
CREARS TRNSFR - общее количество операций чтения и записи для фай ловой системы.
Daily Systems Accounting Summary Report (ежедневный итоговый отчет по данным учета ресурсов системы) - данный отчет генерируется командой runacct посредством демона cron и представляет собой файл итоговой ак тивности за день формата ASCII с именем rprt{mmdd} (месяц, день) в ката логе /var/adm/acct/sum.
LINUX
Конкретное имя файла, в котором хранится системный журнал, зависит от используемого дистрибутива. В стандартных дистрибутивах RedHat и Slackware необходимо проверить содержимое каталога /var/log, где содер жатся файлы syslog, messages,faillog и т. д.
Большинство злоумышленников стараются скрыть следы своего присут ствия (в том числе и в системном журнале). Поэтому следует обратить внимание:
■на короткие или неполные журналы;
■журналы со «странными» временными метками;
■регистрацию пользователей с неверными правами доступа;
■записи о перезагрузке и перезапуске служб;
■отсутствие системных журналов;
■su-записи или регистрации со «странных» мест.
§ 2.6. Криминалистическое исследование СУБД
ORACLE
При проведении криминалистического исследования данной СУБД не обходимо учитывать, что аудит ORECLE-7 предусматривает:
■аудит операторов (statement audit) - отслеживание операторов особого типа для одного или нескольких пользователей;
■аудит привилегий (privilege audit) - отслеживание действий, связанных с конкретными привилегиями в системе, для одного или нескольких пользователей;
■аудит объектов (object audit) - отслеживание конкретных операторов особой схемы объектов для всех пользователей базы данных (рис. 3.2.7).
Рис. 3.2.7
Информация аудита записывается либо в SYSAUDS, либо (в зависимо сти от примененной системы) в журнал аудита операционной системы. Таб лица SYS,AUD$ находится в словаре данных и хранится в табличной облас ти SYSTEM.