Bu yazımda sizlere Incident handling ve response aşamasında elimizin altında olması gereken ve tabiri caizse vaktinde deprem dede diye tanımladığımız Ahmet Mete Işıkara (Allah rahmet etsin) hocamızın sürekli evimizin girişinde tutmamızı söylediği “Deprem Çantasından “, bilişim camiasının tabiri ile “Jump bag veya to go bag ” den ve içinde basit anlamda neler olması gerektiğinden bahsetmeye çalışacağım.
Unutulmaması gereken bir şey var ki bu yazıyı profesyonel dostlarım okurken “ Bu da olsa iyi olurdu” diyebilirsiniz çünkü bu bir ilk müdahale ve ilk analiz çantasıdır. Maksadımız kurumunuza bir zararlı yazılım bulaştığında veya bir olay olduğunda analiz edip, nereden geldiğini nasıl davrandığını ve buna karşı nasıl önlem almanız gerektiği konusunda size ışık tutması içindir. Bugün maalesef binlerce dolarlar harcayıp güvenlik sistemleri alınıyor ve yanlış bir konfigürasyondan dolayı tutuğunuz köşeden gol yiyebiliyorsunuz. Bu çantanın da amacı, bu tür bir durumu analiz etmek için ilk aşamada dışarıdaki bir firmaya para vermeden kendi kaynaklarınız ile tespit etmektir. Olay adli bir sürece girdiği veya kritik bir boyuta geldiği zaman bu çantamızdan ziyade bir Forensics analiz odasına ihtiyacınız olacaktır. Bu tür bir olayın şirketinizin başına yılda kaç defa geleceğini hesap ettiğinizde ve sürekli dinamik, yetkin bir uzman personel tutmanız gerektiğini unutmamak gerekirse, büyük boyuttaki adli vakaları dışarıdan hizmet almanız daha doğru olacaktır. Çantamızın içinde olması gereken temel anlamda yazılım veya ürünlere bakacak olursak;
Boş CD, DVD ve Writer: Analiz edeceğiniz malware’i v.b yazmak veya sistemin imajını almak için
İmaj Oluşturma Yazılımları
Burada dikkat edilmesi gereken bir konu varki bazen imaj alma dediğimizde konu yanlış anlaşılabiliyor. Acronis, Ghost v.b imaj alma yazılımları disk’e veri yazdığı ve orijinali ile oynayıp sıkıştırıp aldığı için bizim işimizi görmüyor. Bahsettiğim imaj binary dediğimiz şekilde alabilmeli ve diskin orijinal halini alabilmeli,
Linux ortamında “ dd ” :
Linux distroları ile varsayılanda gelen bu şahane komut ile diskin raw imajını kolaylıkla alabilirsiniz.
Windows Ortamında “FTK imager”
Ücretsiz olan bu yazılım ile disk imaj alabileceğiniz gibi, memory imaj almadan tutun, silinen dosyaları recovery etmeye, dosyalara SHA1 MD5 hash oluşturmaya kadar işlem yapabilirsiniz. Portable versiyonu olması da ayrı bir güzel tarafı diyebiliriz.
Forensic Software
Sleuth Kit : Linux ve Windows ortamında CLI üzerinden kullanabileceğiniz ücretsiz dijital forensics yazılımı
Autopsy: Sleuth Kit için front end bir yazılım olarak düşünebilirsiniz. Timeline Analysis, Hash Filtering, File System Analysis ve Keyword Searching gibi ekstra özellikleri mevcut.
EnCase, X-Ways gibi ücretli yazılımlarla tabi ki daha fazla analizler yapabilir, adli bilişim anlamında geçerlilik sağlayabilirsiniz fakat dediğim gibi bizim amacımız ilk analiz olduğu için yaklaşık 1000 $ ile 7000$ arasında paraları bu yazılımlara harcamak işimize gelmiyor.
Investigative Tools
Biraz önce bazı forensic araçlarından bahsetsem de günümüzde artık bunlar modifiye edilmiş, linux-unix base işletim sistemlerinin içine gömülü bir şekilde geliyor. Bunlara verilebilecek en güzel örneklerden biride SANS institute’nin “ Investigative Forensics Toolkit (SIFT)” dir . Başlıca içersini de (VM imajları mevcuttur.)
-Sleuth Kit : Digital forensics için kullanabilirsiniz
– Log2timeLine : farklı log dosyalarındaki timestep’leri script yazmakla uğraşmadan basit bir şekilde extract etmenizi sağlayan framework’dür. Glog2timeline GUI versiyonudur.
Wireshark: Network üstünde sniff edilmiş paketleri analiz edebileceğiniz bir tool’dur
Volatility : Memory image’ları analiz edebilirisiniz.
– Ssdeep ve md5deep : hash kontrolü yapabileceğiniz tool’lardır.
bkz:
http://digital-forensics.sans.org/community/downloads
http://www.caine-live.net/page5/page5.html
http://www.oxygen-forensic.com/en/
http://www.deftlinux.net/download/
Ethernet Tap(Terminal Access Point):
Nedir bu TAP : Passive network dinleme cihazı diyebiliriz ve konumlandırıldığı networkde üzerinden geçen bütün trafiği analiz edeceğiniz makinaya realtime olarak atar. Network’den anlayan arkadaşlar peki SPAN port’da aynı işi yapıyor neden TAP alalım diyebilir. Bu yüzden biraz farklarından bahsetmekte fayda var.
Tabi ki TAP cihazının dezavantajlarıda var, pahalı olması, switch başka bir IP adresine trafiğin kopyasını yollayabilirken (uzaktan yönetebilir) TAP sadece üzerinden geçen trafiği monitor portuna yollayabilir. Özet olarak detaylı bir analiz yapmak isterseniz TAP gerekiyor aksi halde SPAN port’da işinizi görecektir.
Laptop: Çantada mutlaka olmazsa olmazıdır. Analiz için kendi makinanızı değil bu makinayı kullanmanız gerekiyor. Bahsettiğimiz forensics yazılımlarının iso’larını veya live cd’lerini bu makinada açabilirsiniz.
Patch Kablo: Bildiğimiz Cross-Over kablosu fakat kaliteli olmasına dikkat edin.
Console Kablosu : Fw, switch, IPS v.b cihazlara bağlanabilmek için (USB dönüştürücüyü unutmayalım)
Solid State Drives(SSD): Büyük miktardaki dataları hızlı bir şekilde analiz etmek için çantamızda mutlaka bulundurmalıyız.
RAM: Bazı durumlarda extra ram’e ihtiyaç duyulabilir.
Telefon Rehberi: Olaylara müdahale aşamasında başınızda birçok kişi olabiliyor ve o an arayacağınız destek almanız gereken kişileri unutabiliyorsunuz. Bu tür durumlara karşı bir telefon rehberi olmasında fayda var ve bu rehberi isim sırasına göre değil olay sırasına göre sıralamanız, hangi durumda kimleri aramanız gerektiğini daha net ortaya koyar.
Anti-statik plastik kutu: Taşıyacağınız elektronik aygıtın zarar static elektrikten zarar görmemesi için.
Incident Response Formu: Olay için alacağınız kayıt, yani 5 W (Who, What, When, Where, Why) ve How sorularının cevabını yazacağınız form.
Not Defteri: Çalışma esnasında alacağınız kayıtlar
Kamera : Sorduğunuz soruları ve yaptığınız müdahaleyi kayıt altında tutmak, daha sonraki analiz hatta Lesson Learned aşamasında işinize yarayacaktır.
El Feneri, Tornavida, RJ-45 connector, Kalem, Cımbız, Hareket edebilen ufak ayna
Temel anlamda çantamızda olması gereken bunlar diyebiliriz. Tabi ki bunları arttırmak bizim elimizde. Benim burada yazdıklarım sadece çanta içinde olması gerekenlerdi. Çantanız ne kadar donanımlı olursa olsun, olay müdahale aşamasında en önemli etken, “ Takım olmaktır “ Incident Response ve Incident Handling team’leri bir kurumun vazgeçilmezidir. Bu team önceden belli olmalıdır ki olay anında herkes görevini otomatik olarak yapabilmeli.
Incident Response Team
Malware Forensics & Network Forensics Specialist : Olaya müdahale edecek uzman
Network Admin (Sistem ile ilgili log ve monitoring gibi kayıtları verebilmesi, troubleshooting )
Network Admin (Network ile ilgili log ve monitoring gibi kayıtları verebilmesi, troubleshooting )
HR (Personel farkındalığı oryantasyonları düzenlemek ve koordinasyon)
Disaster Recovery & Backup ( Olası bir durumda geri dönüş senaryosunu gerçekleştirmek için)
HelpDesk (Müdahale zamanına kadar geçen süreci yönetmeli, son kullanıcının alacağı aksiyonları kontrol altında tutmalı )
Preparation dediğimiz yani testi kırılmadan önceki en önemli aşamalardan biride mutlaka eğitim. Kurumlar personellerini Phishing ataklarına ve fake call ataklarına karşı sürekli güncel tutmaları gerekiyor. Phisme, sptoolkit v.b oltalama araçları ile kendi personellerinize saldırı yaparak onların böyle bir tuzağa düştüğünde ne gibi sonuçları doğuracağını anlatabilir, hatta bütçe varsa belirli çizgi filmler ile desteklenmelidir. Olaylara müdehale ekibinin dinamizminin ayakta tutabilmek içinse belirli aralıklarda şirket içi CTF (Capture The Flag) düzenlenmelidir. Bir sonraki yazımda Preparation aşamasını örneklerle açıklayacağım. Bu yazımızın amacını pek dağıtmamak konu bütünlüğü için daha doğru olacaktır.
Zaman ayırıp okuduğunuz için teşekkürler.
