ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Nedir Bu IR Identification – Detection - Analysis

Bu yazımda sizlere Incident handling ve response aşamasında elimizin altında olması gereken ve tabiri caizse vaktinde deprem dede diye tanımladığımız Ahmet Mete Işıkara (Allah rahmet etsin) hocamızın sürekli evimizin girişinde tutmamızı söylediği “Deprem Çantasından “, bilişim camiasının tabiri ile “Jump bag veya to go bag ” den ve içinde basit anlamda neler olması gerektiğinden bahsetmeye çalışacağım.

 

Unutulmaması gereken bir şey var ki bu yazıyı profesyonel dostlarım okurken “ Bu da olsa iyi olurdu” diyebilirsiniz çünkü bu bir ilk müdahale ve ilk analiz çantasıdır. Maksadımız kurumunuza bir zararlı yazılım bulaştığında veya bir olay olduğunda analiz edip, nereden geldiğini nasıl davrandığını ve buna karşı nasıl önlem almanız gerektiği konusunda size ışık tutması içindir. Bugün maalesef binlerce dolarlar harcayıp güvenlik sistemleri alınıyor ve yanlış bir konfigürasyondan dolayı  tutuğunuz köşeden gol yiyebiliyorsunuz. Bu çantanın da amacı, bu tür bir durumu analiz etmek için ilk aşamada dışarıdaki bir firmaya para vermeden kendi kaynaklarınız ile tespit etmektir. Olay adli bir sürece girdiği  veya kritik bir boyuta geldiği zaman bu çantamızdan ziyade bir Forensics analiz odasına ihtiyacınız olacaktır. Bu tür bir olayın şirketinizin başına yılda kaç defa geleceğini hesap ettiğinizde ve sürekli dinamik, yetkin bir uzman personel tutmanız gerektiğini unutmamak gerekirse, büyük boyuttaki adli vakaları dışarıdan hizmet almanız daha doğru olacaktır. Çantamızın içinde olması gereken temel anlamda yazılım veya ürünlere bakacak olursak;

Boş CD, DVD ve Writer: Analiz edeceğiniz malware’i v.b yazmak veya sistemin imajını almak için

 

İmaj Oluşturma Yazılımları

Burada dikkat edilmesi gereken bir konu varki bazen imaj alma dediğimizde konu yanlış anlaşılabiliyor. Acronis, Ghost v.b imaj alma yazılımları disk’e veri yazdığı ve orijinali ile oynayıp sıkıştırıp aldığı için bizim işimizi görmüyor. Bahsettiğim imaj  binary  dediğimiz şekilde alabilmeli ve diskin orijinal halini alabilmeli,

 

Linux ortamında  “ dd ” :

 

Linux distroları ile varsayılanda gelen bu şahane komut ile diskin raw imajını kolaylıkla alabilirsiniz.

 

Windows Ortamında “FTK imager”

 

Ücretsiz olan bu yazılım ile disk imaj alabileceğiniz gibi, memory imaj almadan tutun, silinen dosyaları recovery etmeye, dosyalara SHA1 MD5 hash oluşturmaya kadar işlem yapabilirsiniz. Portable versiyonu olması da ayrı bir güzel tarafı diyebiliriz.

 

clip_image001

Forensic Software

 

Sleuth Kit : Linux ve Windows ortamında CLI üzerinden kullanabileceğiniz ücretsiz dijital forensics yazılımı

 

Autopsy: Sleuth Kit için front end bir yazılım olarak düşünebilirsiniz. Timeline Analysis, Hash Filtering, File System Analysis ve Keyword Searching gibi ekstra özellikleri mevcut.

 

EnCase, X-Ways gibi ücretli yazılımlarla tabi ki daha fazla analizler yapabilir, adli bilişim anlamında geçerlilik sağlayabilirsiniz fakat dediğim gibi bizim amacımız ilk analiz olduğu için yaklaşık 1000 $ ile 7000$ arasında paraları bu yazılımlara harcamak işimize gelmiyor.

 

Investigative Tools

Biraz önce bazı forensic araçlarından bahsetsem de günümüzde artık bunlar modifiye edilmiş, linux-unix base işletim sistemlerinin içine gömülü bir şekilde geliyor. Bunlara verilebilecek en güzel örneklerden biride SANS institute’nin “ Investigative Forensics Toolkit (SIFT)”  dir . Başlıca içersini de (VM imajları mevcuttur.)

-Sleuth Kit :  Digital forensics için kullanabilirsiniz

- Log2timeLine : farklı log dosyalarındaki  timestep’leri script yazmakla uğraşmadan basit bir şekilde extract etmenizi sağlayan framework’dür. Glog2timeline GUI versiyonudur.

Wireshark: Network üstünde sniff edilmiş paketleri analiz edebileceğiniz bir tool’dur

 

Volatility : Memory image’ları analiz edebilirisiniz.

 

- Ssdeep ve md5deep : hash kontrolü yapabileceğiniz tool'lardır.

bkz:

 

http://digital-forensics.sans.org/community/downloads

http://www.caine-live.net/page5/page5.html

http://www.oxygen-forensic.com/en/

http://www.deftlinux.net/download/

 

Ethernet Tap(Terminal Access Point):

 

Nedir bu TAP  : Passive network dinleme cihazı diyebiliriz ve konumlandırıldığı networkde  üzerinden geçen bütün trafiği analiz edeceğiniz makinaya realtime olarak atar. Network’den anlayan arkadaşlar peki SPAN port’da aynı işi yapıyor neden TAP alalım diyebilir. Bu yüzden biraz farklarından bahsetmekte fayda var.

clip_image003

 

Tabi ki TAP cihazının dezavantajlarıda var, pahalı olması, switch başka bir IP adresine trafiğin kopyasını yollayabilirken (uzaktan yönetebilir) TAP sadece üzerinden geçen trafiği monitor  portuna yollayabilir.  Özet olarak detaylı bir analiz yapmak isterseniz TAP gerekiyor aksi halde SPAN port’da işinizi görecektir.

 

Laptop:  Çantada mutlaka olmazsa olmazıdır. Analiz için kendi makinanızı değil bu makinayı kullanmanız gerekiyor. Bahsettiğimiz forensics yazılımlarının iso’larını veya live cd’lerini bu makinada açabilirsiniz.

 

Patch Kablo: Bildiğimiz Cross-Over kablosu fakat kaliteli olmasına dikkat edin.

 

Console Kablosu : Fw, switch, IPS v.b cihazlara bağlanabilmek için (USB dönüştürücüyü unutmayalım)

 

Solid State Drives(SSD):  Büyük miktardaki dataları hızlı bir şekilde analiz etmek için çantamızda mutlaka bulundurmalıyız.

 

RAM: Bazı durumlarda extra ram’e ihtiyaç duyulabilir.

 

Telefon Rehberi: Olaylara müdahale aşamasında başınızda birçok kişi olabiliyor ve o an arayacağınız destek almanız gereken kişileri unutabiliyorsunuz. Bu tür durumlara karşı bir telefon rehberi olmasında fayda var ve bu rehberi isim sırasına göre değil olay sırasına göre sıralamanız, hangi durumda kimleri aramanız gerektiğini daha net ortaya koyar.

 

Anti-statik plastik kutu: Taşıyacağınız elektronik aygıtın zarar static elektrikten zarar görmemesi için.

 

Incident Response Formu: Olay için alacağınız kayıt, yani 5 W (Who, What, When, Where, Why) ve How   sorularının cevabını yazacağınız form.

 

Not Defteri: Çalışma esnasında alacağınız kayıtlar

 

Kamera : Sorduğunuz soruları ve yaptığınız müdahaleyi kayıt altında tutmak, daha sonraki analiz hatta Lesson Learned aşamasında işinize yarayacaktır.

 

El Feneri, Tornavida, RJ-45 connector, Kalem, Cımbız, Hareket edebilen ufak ayna

Temel anlamda çantamızda olması gereken bunlar diyebiliriz. Tabi ki bunları arttırmak bizim elimizde. Benim burada yazdıklarım sadece çanta içinde olması gerekenlerdi.  Çantanız ne kadar donanımlı olursa olsun, olay müdahale aşamasında en önemli etken, “ Takım olmaktır “ Incident Response ve Incident Handling team’leri bir kurumun vazgeçilmezidir. Bu team önceden belli olmalıdır ki olay anında herkes görevini otomatik olarak yapabilmeli.

 

Incident Response Team

 

Malware Forensics & Network Forensics Specialist : Olaya müdahale edecek uzman

Network Admin (Sistem ile ilgili  log ve monitoring gibi kayıtları verebilmesi, troubleshooting )

Network Admin (Network ile ilgili log ve  monitoring gibi kayıtları verebilmesi, troubleshooting  )

HR (Personel farkındalığı oryantasyonları düzenlemek ve koordinasyon)

Disaster Recovery & Backup ( Olası bir durumda geri dönüş senaryosunu gerçekleştirmek için)

HelpDesk (Müdahale zamanına kadar geçen süreci yönetmeli, son kullanıcının alacağı aksiyonları kontrol altında tutmalı )

Preparation dediğimiz yani testi kırılmadan önceki en önemli aşamalardan biride mutlaka eğitim. Kurumlar personellerini Phishing ataklarına ve fake call ataklarına karşı sürekli güncel tutmaları gerekiyor. Phisme, sptoolkit v.b oltalama  araçları  ile kendi  personellerinize saldırı yaparak onların böyle bir tuzağa düştüğünde ne gibi sonuçları doğuracağını anlatabilir, hatta bütçe varsa belirli çizgi filmler ile desteklenmelidir.  Olaylara müdehale ekibinin dinamizminin ayakta tutabilmek içinse belirli aralıklarda şirket içi CTF (Capture The Flag) düzenlenmelidir. Bir sonraki yazımda Preparation aşamasını örneklerle açıklayacağım. Bu yazımızın amacını pek dağıtmamak konu bütünlüğü için daha doğru olacaktır.

Zaman ayırıp okuduğunuz için teşekkürler.

Tarih : 03 Nisan 2016 Pazar 22:00 Yayınlayan: Gökhan YÜCELER

Yorumlar

 

Hakan UZUNER

Öğrenmiş oldum :) eline sağlık kardeşim

Nisan 4, 2016 10:16
 

Gökhan YÜCELER

Teşekkür ederim hocam :)

Nisan 4, 2016 11:23
 

Fatih Özyalçın

şu "dd" komutunu seviyorum :)

Nisan 4, 2016 11:50
 

Rıza ŞAHAN

Elinize sağlık.

Nisan 4, 2016 21:40
 

Yasin AKILLI

Emeğine sağlık Gökhancım, değerli yazılarını özlemişiz.

Nisan 5, 2016 08:41
 

mehmet dağdevirentürk

Forensic benimde basic olduğum bir alan. Keyifle inceledim yazıyı

Mobile Forensic ile ilgili bilgin var paylaşırsan severek okuruz ;)

Tekrar eline sağlık.

Nisan 7, 2016 23:38
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Gökhan YÜCELER

15.01.1986 yılında İstanbulda doğan Gökhan YÜCELER, 12 yıldır IT sektöründe değişik görevlerde çalışmış olup, son 8 yıldır bilişim güvenliği alanına yoğunlaşmış bulunmaktadır. Görev aldığı kuruluşlarda bilgi güvenliği uzmanı olarak yer almış olup, bu alanda bir çok projeye imza atmıştır. MayaSoft Bünyesinde, Information Security Specialist olarak kariyerine devam eden Gökhan YÜCELER, güvenlik sızma testleri, adli bilişim incelemeleri, IPS/IDS atlatma teknikleri, DDoS saldırıları tespit ve önleme yöntemleri ve Python Security Scripting üzerine çalışmalar yapmaktadır. Gökhan YÜCELER, MCP, CCNA, CCNP, SNAF, FCNSA, FCNSP, CEH, GPEN sertifikalarına sahiptir.

Bu Kategori

Hızlı aktarma

Etiketler