Examiner une brèche informatique correspond à examiner la scène d'un crime. Des détectives rassemblent les preuves, notent tous les indices et font l'inventaire des pertes et des dommages. L'analyse d'un compromis informatique peut être menée soit lorsque l'attaque est en cours, soit en rétrospective (après l'attaque).
Bien que il ne soit pas recommandé de faire confiance aux fichiers journaux d'un système exploité, il existe d'autres utilitaires pour vous aider dans votre analyse. Le but et les fonctions de ces outils varient, mais, en général, ils créent des copies image-bit de média, mettent en relation des évènements et des processus, montrent des informations de systèmes de fichiers de bas niveau et récupèrent des fichiers effacés si possible.
Il est également conseillé d'enregistrer toutes les actions de recherches exécutées sur un système compromis à l'aide de la commande script, comme dans l'exemple suivant :
script -q <file-name> |
Remplacez <file-name> par le nom du fichier pour le journal script. Vous devriez toujours enregistrer le fichier journal sur un média plutôt que sur le disque dur du système compromis — une disquette fonctionne particulièrement bien dans ce cas.
En enregistrant toutes vos actions, un suivi d'analyse est créé, ce qui peut devenir de valeur si l'agresseur est un jour arrêté.
La création d'une copie image-bit de média est une première étape faisable. Dans le cas de travail médico-légal de données, c'est un besoin. Il est conseillé de créer deux copies : une pour l'analyse et la recherche, et l'autre pour être stockée avec l'original en tant que preuves lors de démarches légales.
Vous pouvez utiliser la commande dd qui fait partie du paquetage coreutils de Red Hat Enterprise Linux pour créer une image monolithique d'un système exploité en tant que preuve dans une enquête ou pour comparer avec des images certifiées. Supposez que vous ne souhaitiez l'image que d'un seul disque dur d'un système. Connectez ce disque à votre système en tant que esclave, puis utilisez la commande dd pour créer le fichier image, comme dans l'exemple suivant :
dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1 |
Cette commande crée un seul fichier nommé image1 à l'aide d'une taille de bloc de 1k pour la vitesse. Les options conv=noerror,sync obligent la commande dd à continuer à lire et vider des données même si des mauvais secteurs sont trouvés sur le disque suspect. Il est maintenant possible d'étudier le fichier image résultat et même d'essayer de récupérer des fichiers effacés.
Le sujet d'analyse et d'études médico-légales numériques est en lui-même très étendu, mais les outils sont surtout spécifiques aux architectures et ne peuvent pas être appliqués de façon générique. Cependant, la réponse aux incidents, l'analyse et la restauration sont des sujets importants. Avec les propres connaissances et expérience, Red Hat Enterprise Linux peut être une plate-forme parfaite pour effectuer ces genres d'analyse, vu qu'il inclut plusieurs utilitaires pour effectuer la réponse et la restauration après la brèche.
Le Tableau 10-1 détaille certaines commandes pour l'audit et la gestion de fichiers. Elle offre également quelques exemples qui peuvent être utilisés pour identifier correctement les fichiers et les attributs de fichiers (comme les permissions et les dates d'accès) afin que vous puissiez rassembler davantage de preuves ou d'éléments pour l'analyse. Ces outils, combinés avec les systèmes de détection d'intrusions, les pare-feu, les services endurcis et autres mesures de sécurité, peuvent aider à réduire les dégâts potentiels au cours d'une attaque.
![]() | Remarque |
---|---|
Pour de plus amples informations sur chaque outil, veuillez consulter leurs pages de manuel respectives. |
Commande | Fonction | Exemple |
---|---|---|
dd | Crée une copie image-bit (ou vidage sur disque) de fichiers et de partitions. Combiné avec un contrôle des md5sum de chaque image, les administrateurs peuvent comparer l'image, avant la brèche, d'une partition ou d'un fichier au système qui a subi la brèche pour voir si les sommes correspondent. | dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt |
grep | Trouve des informations (texte) utiles à l'intérieur de fichiers et de répertoires, comme les permissions, les changements de scripts, les attributs de fichiers et autres. Utilisé le plus souvent avec un tube après d'autres commandes comme ls, ps ou ifconfig | ps auxw |grep /bin |
strings | Affiche les chaînes de caractères imprimables d'un fichier. Cela est surtout utile pour rechercher des anomalies dans des exécutables, comme les commandes mail vers des adresses inconnues ou enregistrant sur un fichier journal non standard. | strings /bin/ps |grep 'mail' |
file | Détermine les caractéristiques de fichiers selon le format, le code, les bibliothèques liées et le type de fichier (binaire, texte et autre). Cette commande est utile pour déterminer si un exécutable, comme /bin/ls a été modifié à l'aide de bibliothèques statiques, un signe sûr que l'exécutable a été remplacé par un utilisateur malveillant. | file /bin/ls |
find | Recherche des fichiers particuliers dans les répertoires. Cet outil est utile pour chercher la structure de répertoires par mot-clé, heure et date d'accès, permissions, etc. Cela peut s'avérer utile pour les administrateurs qui effectuent des analyses générales de système sur des fichiers ou répertoires particuliers. | find -atime +12 -name *log* -perm u+rw |
stat | Affiche diverses informations sur un fichier, y compris la date de sa dernière utilisation, ses permissions, les définitions des bit UID et GID, etc. Utile pour contrôler la dernière fois qu'un exécutable de système qui a subi une brèche a été utilisé et / ou lorsqu'il a été modifié. | stat /bin/netstat |
md5sum | Calcule la somme de contrôle de 128-bit à l'aide de l'algorithme hash md5. Vous pouvez utiliser la commande pour créer un fichier texte qui contient la liste de tous les exécutables essentiels qui pourraient être modifiés ou remplacés dans un compromis de sécurité. Redirigez les sommes vers un fichier pour créer une base de données de sommes de contrôle, puis copiez le fichier sur un média en lecture seule, comme un CD-ROM. | md5sum /usr/bin/gdm >>md5sum.txt |
Tableau 10-1. Outils d'audit de fichiers
Précédent | Sommaire | Suivant |
Implémentation du plan de réponse aux incidents | Niveau supérieur | Restauration et récupération de ressources |