Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
ADLİ BİLİŞİM
TEKNİKLERİNE
GİRİŞ EĞİTİMİ
EĞİTİM KONULARI
I. Bilgisayar Analizi
II. Ağ Temelli Analiz
III. Adli Bilişim Altyapısı için Hazırlık
Eğitim Kapsamı ve Temel Kavramlar
• Kapsam: Teknik Analiz Teknikleri
• Temel Kavramlar:
– Canlı Analiz
– Ölü Analiz
– Krip...
Eğitim Kapsamı ve Temel Kavramlar
Olay Müdahale Stratejisi
• Alınabilecek kararlar:
– Sistem hemen izole edilmeli mi / sal...
Eğitim Kapsamı ve Temel Kavramlar
Olay Müdahale Stratejisi
• Değerlendirmede kullanılabilecek sorular:
– Etkilenen sisteml...
OTURUM 1
Bilgisayar Analizi
CANLI ANALİZ
Unix Sistemlerde Canlı Analiz
Unix sistemler için önemli veri ve komutlar:
• Sisteme bağlı kullanıcılar: w, w...
CANLI ANALİZ
Windows Sistemlerde Canlı Analiz
Windows sistemler için önemli veri ve komutlar:
• Sisteme bağlı kullanıcılar...
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk analiz katmanları
• Fiziksel disk analizi
• Volume (partition) analizi (Volum...
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk adresleme birimleri
• Fiziksel adresleme (CHS - Cylinder, Head, Sector ve LBA...
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Disk arayüz ve kablolama standartları
• ATA (IDE) Diskler: ATA-1, ATA-3, ATAPI-4, ...
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Diskte kullanılmayan alanlar:
• Slack space (File Slack, RAM Slack)
• Unallocated ...
ÖLÜ ANALİZ
Disk Analizi Temel Kavramlar
Bilgisayar boot süreci
• ROM kodu
• Bootable disk'in ilk sektöründe bulunan MBR-Ma...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Adli Bilişim Kopyalama
– Fiziksel disk bazında (dd, dcfldd - Department of Defenc...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Delil diski forensic bilgisayarına bağlamadan yapılabilecek kopyalamalar (delil
b...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Write Blocker'lar:
– Donanım bazlı write blocker'lar (BIOS'u bypass eden erişimle...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Bilinen İyi Dosyalar (Known Good Files)
– Bilinen iyi dosyalar veritabanları (ör:...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Anahtar Kelime Arama
• Anahtar kelime arama tekniğinin önündeki temel engeller şu...
ÖLÜ ANALİZ
Genel Ölü Analiz Teknikleri
• Silinen dosyaların recover edilmesi:
– File system data structure'larından faydal...
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Konfigürasyon dosyaları:
– Trust ilişkilerinin tanımlandığı dosyalar: /etc/hosts....
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Kullanıcı ve grup dosyaları:
– Kullanıcı bilgileri ve parola hash'lerinin tutuldu...
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Analiz açısından önemli olabilecek diğer dosyalar:
– Shell history dosyaları: .ba...
ÖLÜ ANALİZ
Unix Sistemlerde Ölü Analiz
• Anahtar kelime arama
– İlgili Unix araçları: grep, find, strings
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• Registry dosyaları ve içerikleri:
– NTUSER.DAT: Protected sto...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• Registry dosyalarının yerleri:
– HKEY_USERS: Documents and Se...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• İlginç olabilecek registry anahtarları:
– Genel kullanıcı bil...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
Registry Analizi
• İlginç olabilecek registry anahtarları (devamı):
– Windows Pa...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Sistem kullanıcılarının ve gruplarının analizi için SAM dosyasının analizi
• S...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Windows autostart dosyalarının incelenmesi:
– Autostart dizinleri (XP için C:D...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Recycle bin'deki dosyaların incelenmesi:
– Recycle edilebilecek dosyalar (uzak...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Daha önceden kurulmuş ancak silinmiş uygulamaların analizi:
– Kopmuş linklerin...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Browser history dosyalarının analizi:
– History dosyaları. Ör: Internet Explor...
ÖLÜ ANALİZ
Windows Sistemlerde Ölü Analiz
• Anormal ve gizli dosyaların analizi:
– Hidden attribute'lü dosyalar
– Alternat...
ÖLÜ ANALİZ
Önde Gelen Araçlar
• Ticari yazılımlar:
– EnCase
– FTK ve PRTK
• Açık kaynak kodlu yazılımlar
– The Sleuth Kit ...
ZARARLI YAZILIM ANALİZİ
Statik Analiz
• strings komutu
• MiTec ExeExplorer (import edilen fonksiyonlar, stringler, hex gör...
ZARARLI YAZILIM ANALİZİ
Dinamik Analiz
• Sysinternals – Process Monitor, aşağıdaki aktiviteleri izler:
– Registry
– File s...
LOG ANALİZİ
Unix Logları
syslog altyapısı
• /etc/syslog.conf
• Log konfigürasyon formatı:
– Facility.Priority Action
– Örn...
LOG ANALİZİ
Unix Logları
Proseslere özel loglar
• cron job logları (örnek lokasyon: /var/cron/log)
• su (switch user) logl...
LOG ANALİZİ
Unix Logları
Process accounting
• "accton" komutu veya "startup" komutu (genellikle /usr/lib/acct/startup olar...
LOG ANALİZİ
Unix Logları
Kullanıcı bağlantı logları
• Aşağıdaki log dosyaları binary formatta tutulur:
– utmp dosyası: “w”...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows 9 ana kategori altında log tutar:
– Logon/logoff - Lokal l...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows 9 ana kategori altında log tutar (devamı):
– DS Object Acc...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Eventlog dosyaları
– Loglar Vista öncesi sistemlerde %WINDIR%Syste...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Windows EventID'leri
– Vista ve sonrası için EventID formülü: Even...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• İlginç eventler
– 512 / 4608 Startup
– 513 / 4609 Shutdown
– 528 /...
LOG ANALİZİ
Windows Logları
Windows loglama altyapısı
• Kullanıcı yönetimiyle ilgili eventler:
– 624: Yeni kullanıcı tanım...
LOG ANALİZİ
Windows Logları
• Logon tipleri
– 2 tip kullanıcı hesabı bulunur:
– Lokal hesaplar
– Active Directory (Domain)...
LOG ANALİZİ
Windows Logları
• Domain kullanıcısı ile kişisel bilgisayara giriş ve file server'a erişme senaryosu:
– A/D'de...
LOG ANALİZİ
Windows Logları
• Windows event loglarının uzakta saklanması
– Windows Vista altındaki sistemler syslog loglar...
LOG ANALİZİ
Uygulama Seviyesindeki Loglar
• Web sunucu logları. Örnek loglanabilir alanlar:
– Client IP Address
– Server I...
LOG ANALİZİ
Uygulama Seviyesindeki Loglar
• DHCP logları. DHCP log alanları:
– ID
– Date
– Time
– Description
– IP Address...
OTURUM 2
Ağ Temelli Analiz
AĞ TEMELLİ ANALİZ
Ağ Teknolojisi ve Dinleme
• TCP/IP
• Ağ Servisleri
• Sniffer’lar
• Sessiz Sniffer (yüksek güvenlik ihtiy...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analizin Hedefleri
• Olay sonrası için:
– Bir bilgi güvenliği olayı ile ilgili şüpheleri doğr...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Alarm Verisi
• IDS alarmları
• Örnek Snort kuralı:
– alert tcp any any ->...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Oturum Verisi
• Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Gönderilen ...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Araçlar:
– Tcpdump
– wireshark (GUI), tshark (Command...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Unix platformlar için ayrıntılar:
– Unix sistemlerde ...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Ağ üzerinden iletilen verinin yeniden oluşturulması
–...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Tam içerik hacminin takibi için:
– Unix sistemlerde: ...
AĞ TEMELLİ ANALİZ
Ağ Temelli Analiz Kategorileri
Tam İçerik Verisi
• Genel kabul görmüş paket saklama formatı
– pcap (libp...
AĞ TEMELLİ ANALİZ
Ağ Cihazları Logları
• AAA logları (TACACS ve RADIUS sunucuların kullanıldığı durumlarda)
• Syslog logla...
OTURUM 3
Adli Bilişim Altyapısı
İçin Hazırlık
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Donanım ihtiyaçları
• Temiz ve yeterli büyüklükte sa...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Donanım ihtiyaçları
• Çokça yazılabilir CD ve DVD
• ...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Forensic duplication yazılımla...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Bootable linux dağıtımları (DE...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Yazılım ihtiyaçları
• Dosya kripto kırma yazılımları...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Bilgisayar Analizi İçin Hazırlık
Saldırıya hazırlık için kritik dosyalar için bütünlü...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Donanım ihtiyaçları
• Monitor port ayarı yapılabilece...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Yazılım ihtiyaçları
• Alarm verisi üretmek için IDS y...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
İzlenebilir bir ağ topolojisi
• Ağ bölümlemesi
• Eriş...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Ekip ve eğitim imkanları
• Temel ağ yönetimi ve güven...
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK
Ağ Temelli Analiz İçin Hazırlık
Log ve sistem altyapısı
• Ortak zaman sunucu kullanım...
BTRisk Hakkında
2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT ...
blog.btrisk.com @btrisk /btrisktv /btrisk
Nächste SlideShare
Wird geladen in …5
×

BTRisk Adli Bilişim Eğitimi Sunumu

1.794 Aufrufe

Veröffentlicht am

Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.
Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.
Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.

Veröffentlicht in: Bildung
  • Als Erste(r) kommentieren

BTRisk Adli Bilişim Eğitimi Sunumu

  1. 1. ADLİ BİLİŞİM TEKNİKLERİNE GİRİŞ EĞİTİMİ
  2. 2. EĞİTİM KONULARI I. Bilgisayar Analizi II. Ağ Temelli Analiz III. Adli Bilişim Altyapısı için Hazırlık
  3. 3. Eğitim Kapsamı ve Temel Kavramlar • Kapsam: Teknik Analiz Teknikleri • Temel Kavramlar: – Canlı Analiz – Ölü Analiz – Kriptografi (hashing)
  4. 4. Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Alınabilecek kararlar: – Sistem hemen izole edilmeli mi / saldırganın aktiviteleri izlenmeli mi (saldırganın kullandığı araçların ve eriştiği kaynakların tespiti ihtiyacı / saldırganın zarar vermeye devam etme riski) – Sistem üzerinde ölü analiz mi yapılmalı / canlı analiz mi yapılmalı (sistem kapatıldığında yok olacak proses ve ağ aktivitelerini tespit etme ihtiyacı / kanıtların geçerlilik kaybı veya kanıt kararma riski) – Kamuya ve/veya otoritelere duyuru yapılmalı mı / gizli mi tutulmalı (düzenlemelere uyum veya etkilenebilecek tarafları zamanında haberdar etme ihtiyacı / kurum itibarının zedelenme riski) – Sistem - cihaz üzerinde güvenlik olayına karşı gerekli konfigürasyon ayarları yapılmalı veya yedeği ile değiştirilmeli mi / sistem - cihaz üzerinde adli bilişim analizi gerçekleştirilmeli mi (hizmet süreklilik ihtiyacı / suçluların belirlenmesi ve cezalandırılması ihtiyacı)
  5. 5. Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Değerlendirmede kullanılabilecek sorular: – Etkilenen sistemler ne kadar kritik? – İfşa olan veya çalınan bilgiler ne kadar hassas? – Potansiyel saldırganlar kimler? – Güvenlik olayı kamu tarafından biliniyor mu? – Saldırganın ulaştığı erişim seviyesi hangi düzeyde? – Saldırganın yetenekleri ne seviyede görünüyor? – Olay nedeniyle yaşanan sistem ve kullanıcı hizmet kesinti süresi ne kadar gerçekleşti? – Toplam mali kayıp ne düzeyde?
  6. 6. OTURUM 1 Bilgisayar Analizi
  7. 7. CANLI ANALİZ Unix Sistemlerde Canlı Analiz Unix sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: w, who, last • Sistem zamanı: date • Çalışan prosesler: ps -ef (tüm prosesler için) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anp • IP adresleri, MAC adresleri ve ağ arayüzleri statüsü (promiscuous mod'da arayüz olup olmadığının tespiti için): ifconfig -a • /proc dizini altındaki kernel data structure'ları: Bazı Unix'lerde /proc dizini altında her bir proses için prosess ID'si (PID) ile bir dizin açılır. Bu dizin altındaki kernel veri yapıları içinde exe linki (çalıştırılan kod silinmiş olsa bile halen çalışıyorsa tekrar oluşturulmasına imkan verir), fd dizini (file descriptor: prosesin açtığı tüm dosyaları içerir) ve cmdline dosyası (kod çalıştırılırken komut satırında verilen parametreleri içerir) gibi kaynaklar analize katkı sağlayabilir.
  8. 8. CANLI ANALİZ Windows Sistemlerde Canlı Analiz Windows sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: PsLoggedOn (sysinternals) • Sistem zamanı: date /t, time /t • Çalışan prosesler: PsList (sysinternals) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anb / fport (foundstone) • Mevcut ve yakın zamanda gerçekleşmiş bağlantılar: arp -a, nbtstat -c • Memory dump analizi (en güncel kaynakların incelenmesi gerekir) • (İhtiyaç duyulabilecek durumlarda) mevcut shell'den işletilen komutların listesi: doskey /history • Zamanlı işler: at
  9. 9. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk analiz katmanları • Fiziksel disk analizi • Volume (partition) analizi (Volume'lara neden ihtiyacımız var?) • File System analizi • İşletim sistemi ve uygulama analizi Disk analizinde data structure'ların analizi için faydalı araç: R-Studio
  10. 10. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk adresleme birimleri • Fiziksel adresleme (CHS - Cylinder, Head, Sector ve LBA - Logical Block Address) • Sector (genellikle 512byte) • Cluster (veya Block)
  11. 11. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk arayüz ve kablolama standartları • ATA (IDE) Diskler: ATA-1, ATA-3, ATAPI-4, ATAPI-6, ATAPI-7 • SATA Diskler: Serial ATA (ATA-7 spesifikasyonunda belirtilmiştir) Kablo alan avantajı nedeniyle Laptop'larda genellikle gözlenir • SCSI Diskler: SCSI, Fast SCSI, Ultra/2/3/160/320 SCSI (sinyal tipleri SE-Single Ended, LVD-Low Voltage Differential, HVD-High Voltage Differential - HVD kablolar SE cihazlara zarar verebilir)
  12. 12. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Diskte kullanılmayan alanlar: • Slack space (File Slack, RAM Slack) • Unallocated space • Free space
  13. 13. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Bilgisayar boot süreci • ROM kodu • Bootable disk'in ilk sektöründe bulunan MBR-Master Boot Record (partition table'ı da içerir) • Sistem diski (partition'ı)'nin ilk sektöründe bulunan kod • File sistem içinde bulunan işletim sistemi kodu
  14. 14. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Adli Bilişim Kopyalama – Fiziksel disk bazında (dd, dcfldd - Department of Defence Computer Forensics Laboratory version of dd) – Volume bazında • Gizli fiziksel alanlar: Host Protected Area, Device Configuration Overlay alanları • İmaj bütünlük kontrolü • Bütünlük kontrolünün uygulanma aralığı (imaj bazlı, volume bazlı, dosya bazlı, v.b.)
  15. 15. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Delil diski forensic bilgisayarına bağlamadan yapılabilecek kopyalamalar (delil bilgisayarın özel boot diskleri ile açılmasını ve forensic bilgisayarında da ilgili yazılımın çalışmasını gerektirir): – Network üzerinden – Paralel veya seri portlar üzerinden • Forensic imaj araçları için yapılan yeterlilik test sonuçlarına http://www.cftt.nist.gov/disk_imaging.htm adresinden ulaşılabilir
  16. 16. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Write Blocker'lar: – Donanım bazlı write blocker'lar (BIOS'u bypass eden erişimleri de engeller) (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/hardware_write_block.htm adresinden ulaşılabilir) – Yazılım bazlı write blocker'lar (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/software_write_block.htm adresinden ulaşılabilir) • Alınan imajın read-only yapılması: chmod 440 imaj.bin • Alınan imajın inceleme için loopback device olarak read-only mount edilmesi: mount -r -t vfat /dev/loopa /mnt/evidence
  17. 17. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Bilinen İyi Dosyalar (Known Good Files) – Bilinen iyi dosyalar veritabanları (ör: http://www.nsrl.nist.gov) • Dosya tipi ile uzantısı uyuşmayan dosyaların analizi (Unix'teki file komutu dosya magic numaralarına göre dosya analizi yapmak için kullanılabilir) • Dosya (CRUD – “Create Read Update Delete” tarih analizi (Windows imajları için R-Studio'nun File Mask özelliği kullanılabilir))
  18. 18. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Anahtar Kelime Arama • Anahtar kelime arama tekniğinin önündeki temel engeller şunlardır: – Kriptolanmış veya sıkıştırılmış dosyalar (kırılmaları ve açılmaları gerekir) – Özel dosya formatları içinde saklanan kayıtlar (.ost, .pst, veritabanı kayıtları, registry dosyaları, event logları, browser history dosyaları v.b.) – Büyük saklama alanları (her bir kelime arama tekrar tarama gerektireceğinden başlangıçta yapılacak bir indeksleme büyük fayda sağlayacaktır) – Unallocated ve free space'lerde tespit edilen kelimeler (carving yapılarak dosya yapısı oluşturulmaya çalışılır)
  19. 19. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Silinen dosyaların recover edilmesi: – File system data structure'larından faydalanılarak – Dosya magic number'larından (header ve/veya footer değerlerinden) faydalanılarak file carving yöntemi ile
  20. 20. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Konfigürasyon dosyaları: – Trust ilişkilerinin tanımlandığı dosyalar: /etc/hosts.equiv ve kullanıcı home dizinlerinde bulunan .rhosts dosyaları – Tcpwrapper konfigürasyon dosyaları: /etc/hosts.allow ve /etc/hosts.deny dosyaları – Inetd daemon'ı tarafından kullanılan konfigürasyon dosyaları: /etc/services ve /etc/inetd.conf (veya inetd daemon'una linklenmiş tcpwrapper kullanılıyorsa /etc/xinetd.conf) dosyaları – Zamanlı işler için "crontab" dosyaları: /var/spool/cron, /usr/spool/cron gibi dizinlerde bulunabilirler – Unix boot startup dosyaları: /etc/rc.d veya benzeri dizinler altında bulunurlar – Kullanıcı startup dosyaları: Sistem türüne bağlı olarak kullanıcı home dizinleri altında bulunan .profile, .login, .bashrc, cshrc, .exrc gibi dosyalardır – NFS dizin paylaşımları: /etc/exports – Lokal DNS kayıtları: /etc/hosts 20
  21. 21. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Kullanıcı ve grup dosyaları: – Kullanıcı bilgileri ve parola hash'lerinin tutulduğu dosyalar: /etc/passwd ve /etc/shadow – Kullanıcı grup bilgilerinin tutulduğu dosya: /etc/group 21
  22. 22. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Analiz açısından önemli olabilecek diğer dosyalar: – Shell history dosyaları: .bash_history – Yüksek haklara sahip çalıştırılabilir dosyalar: SUID ve SGID dosyaları (özellikle /tmp dizini ve diğer anormal ve gizli dizinler içindekiler) – Normal olmayan gizli dizin ve dosyalar: Unix'te "." ile başlayan dizin ve dosyalar normal "ls" komutunda görünmez – /tmp dizini altındaki dosyalar: Öntanımlı olarak world writable olan /tmp dizini saldırgan tarafından dosyalarını saklama amaçlı kullanılabilir
  23. 23. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Anahtar kelime arama – İlgili Unix araçları: grep, find, strings
  24. 24. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyaları ve içerikleri: – NTUSER.DAT: Protected storage for user, MRU lists, User’s preference settings. – DEFAULT: System settings set during initial install of operating system. – SAM: Security settings and user account management. – SECURITY: Security settings. – SOFTWARE: All installed programs on the system and their settings associated with them. – SYSTEM: System settings.
  25. 25. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyalarının yerleri: – HKEY_USERS: Documents and SettingsUser ProfileNTUSER.DAT – HKEY_USERS/.DEFAULT: WINDOWSsystem32configdefault – HKEY_LOCAL_MACHINE/SAM: WINDOWSsystem32configSAM – HKEY_LOCAL_MACHINE/SECURITY: WINDOWSsystem32configSECURITY – HKEY_LOCAL_MACHINE/SOFTWARE: WINDOWSsystem32configsoftware – HKEY_LOCAL_MACHINE/SYSTEM: WINDOWSsystem32configsystem
  26. 26. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları: – Genel kullanıcı bilgileri – Time Zone bilgisi – Share edilmiş dizinler – Autorun anahtarları – Most Recently Used (MRU) listeleri (ör: Run diyaloğundan çalıştırılan komutlar, MS Office uygulamaları ile açılmış son dosyalar, Map'lenmiş ağ paylaşımları, Start Menü'de son açılmış uygulamalar, Remote Desktop ile son yapılan bağlantılar, Windows Explorer ile araştırılmış bilgisayarlar, UserAssist anahtarında saklanan uygulama isimleri ve kullanım sayıları bilgileri v.b.) – Wireless Networks bilgileri – LAN Computers: Paylaşımlarına bağlanılmış bilgisayarlar – USB cihazları ve Mount edilmiş cihazlar – Internet Explorer aktiviteleri (ör: TypedURLs, DownloadDirectory)
  27. 27. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları (devamı): – Windows Passwords (ör: protected storage'da saklanan parolalar: outlook tarafından saklanan POP3 parolaları, autocomplete parolaları, v.d. - bu parolalar PassView gibi araçlarla kırılabilmektedir) – Unread Mail: Tanımlı Outlook ve Outlook Express kullanıcıları ve okunmamış mail sayıları – Exchange sunucu ve kullanıcı ad bilgileri • Not: Bazı anahtarlar için ROT13 encoding yöntemi kullanılmaktadır. Bu kodlamayı decode etmek için bir anahtara ihtiyaç bulunmamakta ve online pek çok kaynak kullanılarak decode edilebilmektedir.
  28. 28. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Sistem kullanıcılarının ve gruplarının analizi için SAM dosyasının analizi • SID - Security ID (ör SID: S-1-5-21-1935655697-1659004503-725345543-500): • Son rakam RID - Relative Identifier olarak anılır. Bilinen RID'lere örnekler: – 500 (Administrator) – 501 (guest) – Normal kullanıcı RID'leri 1000'den başlar • LM parolala hash'lerinin kırılması: pwdump (türevleri), John the Ripper, L0phtcrack, PRTK (ticari) • Rainbow tabloları: http://www.objectif-securite.ch/en/products.php
  29. 29. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Windows autostart dosyalarının incelenmesi: – Autostart dizinleri (XP için C:Documents and Settings[user_name]Start MenuProgramsStartUp): Sistem başlatıldığında veya bir kullanıcı logon olduğunda çalıştırılacak zararlı yazılım veya zararlı yazılım linki bulunabilir – Win.ini (XP için C:Windowswin.ini): Yöntem-1: run=[backdoor] veya load=[backdoor], Yöntem-2: bir suffix'i (ör: .docx) zararlı bir yazılımla eşleştirmek – System.ini (XP için C:WindowsSystem.ini): shell=[zararlı yazılım.exe]. WinNT ve sonrasında bu parametre dikkate alınmaz – Wininit.ini (XP için C:WindowsWininit.ini): Yazılım kurulumlarında sistem reboot ettikten sonra çalıştırılacak kodlar için kullanılır.
  30. 30. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Recycle bin'deki dosyaların incelenmesi: – Recycle edilebilecek dosyalar (uzaktan silinen, komut satırından silinen dosyalar edilemez) her partition root'unun altında yer alan RECYCLER dizini altında ilgili dosyayı silen kullanıcı SID'sinden oluşan dizinler altında saklanır – Dosya isimleri şu formatta değiştirilir: D<orjinal sürücü harfi-ör: C><#>.<orjinal dosya uzantısı> – Dosya isim ve orjinal yer bilgisi INFO2 dosyasında belli bir formatta tutulur
  31. 31. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Daha önceden kurulmuş ancak silinmiş uygulamaların analizi: – Kopmuş linklerin analizi (uygulama silinmiş ancak linki kalmış olabilir): chklnks.exe (resource kit) – Registry anahtarları arasında uygulama adının aranması (uygun biçimde uninstall edilmemiş yazılımların registry anahtarları halen registry'de bulunabilir)
  32. 32. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Browser history dosyalarının analizi: – History dosyaları. Ör: Internet Explorer için: – %systemdir%Documents and Settings%username%Cookies – %systemdir%Documents and Settings%username%Local SettingsHistoryhistory.ie5 (altındaki index.dat dosyası) – Cache'lenmiş dosyalar (ör: Internet Explorer için %systemdir%Documents and Settings%username%Local SettingsTemporary Internet FilesContent.ie5 (altındaki index.dat dosyası)) – Download dizinleri (ör: FireFox için %systemdir%Documents and Settings%username%My DocumentsDownloads)
  33. 33. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Anormal ve gizli dosyaların analizi: – Hidden attribute'lü dosyalar – Alternate data stream'ler: SFind, streams – Dosya uzantısı ve dosya tipi karşılaştırmaları (dosya magic numaraları, header, footer değerlerini kullanarak) – Good Known File Filters (hash değerleri) kullanılarak sistem dosyaları veya ismi sistem dosyasına benzeyen dosyaların orjinal olup olmadıklarının incelenmesi (http://www.nsrl.nist.gov/)
  34. 34. ÖLÜ ANALİZ Önde Gelen Araçlar • Ticari yazılımlar: – EnCase – FTK ve PRTK • Açık kaynak kodlu yazılımlar – The Sleuth Kit (ve web arayüz uygulaması Autopsy): String ve regular expression aramayı, silinmiş dosyaları recover etmeyi, dosya zaman bilgileri ile zaman çizgisi analizi yapmayı, known-good dosya hashleri ile karşılaştırma yapmayı destekler
  35. 35. ZARARLI YAZILIM ANALİZİ Statik Analiz • strings komutu • MiTec ExeExplorer (import edilen fonksiyonlar, stringler, hex görüntü) • Decompiling - Disassembling – IDA Pro (Disassembler) – Dis# – JD Java Decompiler
  36. 36. ZARARLI YAZILIM ANALİZİ Dinamik Analiz • Sysinternals – Process Monitor, aşağıdaki aktiviteleri izler: – Registry – File system – Network – Process • Registry farkı alma (http://sourceforge.net/projects/regshot/) • Debug etme: – Windows için: SoftICE – Unix için: strace • Dinamik analiz için online sandbox ortamı – http://mwanalysis.org
  37. 37. LOG ANALİZİ Unix Logları syslog altyapısı • /etc/syslog.conf • Log konfigürasyon formatı: – Facility.Priority Action – Örnek: *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages • auth mesajları (genellikle güvenlikle ilgilidir) • Uzaktaki bir sunucuda loglama ayarı – ör: auth.* @10.10.10.1
  38. 38. LOG ANALİZİ Unix Logları Proseslere özel loglar • cron job logları (örnek lokasyon: /var/cron/log) • su (switch user) logları (bazı sistemlerde syslog altyapısı kullanılır) • xferlog (xftpd daemon'u için log dosyası, genellikle /usr/adm/xferlog lokasyonunda bulunur)
  39. 39. LOG ANALİZİ Unix Logları Process accounting • "accton" komutu veya "startup" komutu (genellikle /usr/lib/acct/startup olarak bulunur) kullanılarak başlatılır • Process accounting log dosyaları binary formatta olduğundan "lastcomm" veya "acctcomm" komutları ile görüntülenebilir • Sistem yöneticisi tarafından değiştirilme riskleri düşüktür ancak silinebilirler
  40. 40. LOG ANALİZİ Unix Logları Kullanıcı bağlantı logları • Aşağıdaki log dosyaları binary formatta tutulur: – utmp dosyası: “w” utility'si ile erişilir, o anda sisteme bağlı kullanıcıları içerir – wtmp dosyası: “last” utility'si ile erişilir, sistem kullanıcılarının login ve logout history'sini içerir – btmp dosyası: “lastb” utility'si ile erişilir, başarısız login denemelerini içerir 40
  41. 41. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar: – Logon/logoff - Lokal logon olayları, erişilen makinede gerçekleşen olaylar (kişisel bilgisayarıma kim logon etmiş / terminal server makinesine kimler uzaktan logon oldu?) – Account logon - Kimlik doğrulama olayları (domain'e kim ne zaman logon etmiş?) – Account management - Kullanıcı veya grup hesaplarında yapılan işlemler – Policy change - Audit Policy'de yapılan değişikliklerin takibi – System - Shutdown, startup gibi sistem olaylarının takibi – Process tracking - Uygulamaların ne zaman kim tarafından çalıştırıldığının takibi (belirtilen uygulamayı kim / ne zaman çalıştırdı?) – Object access - Sistem kaynaklarına yapılan erişimlerin takibi; Registry, File, Directory. Bu kaynaklara yapılan erişimler genellikle Event ID 560 ile takip edilir. (kim belirtilen dosyaya erişti / sildi?) Not: Object access loglarının tutulması için bu seçeneğin açık olması ve ilgili nesneler için de log konfigürasyonu yapılması gerekir. Öntanımlı olarak nesnelerin erişim logları otomatik olarak tutulmaz.
  42. 42. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar (devamı): – DS Object Access - Active Directory'ye erişimle ilgili olaylar – Privilege use - Kullanıcının sistem üzerinde yaptığı kalıcı değişiklikler, örneğin sistem tarihinin değiştirilmesi
  43. 43. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Eventlog dosyaları – Loglar Vista öncesi sistemlerde %WINDIR%System32config dizini altındaki ".evt" uzantılı dosyalarda, Vista'dan itibaren %WINDIR%System32winevtLogs dizini altında saklanır – Event loglarına Windows çalışırken sadece WIN32 API ve EventViewer uygulaması ile ulaşılabilir • Log tutma politikası – Maximum log size (300MB'ı geçmemesi önerilir, sınır 2GB'tır) – When maximum log size is reached (Overwrite events as needed önerilir)
  44. 44. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows EventID'leri – Vista ve sonrası için EventID formülü: EventID(WS03) + 4096 = EventID(WS08) • İstisnalar: – Logon success event'leri: (540, 528) -> 4624 (=528+4096) – Logon failure event'leri: (529-537, 539) -> 4625 (=529+4096)
  45. 45. LOG ANALİZİ Windows Logları Windows loglama altyapısı • İlginç eventler – 512 / 4608 Startup – 513 / 4609 Shutdown – 528 / 4624 Logon – 538 / 4634 Logoff – 551 / 4647 Begin_Logoff (kullanıcı logoff başlattı) – N/A / 4778 Session_Reconnected – N/A / 4779 Session_Disconnected – N/A / 4800 Workstation_Locked – N/A / 4801 Workstation_Unlocked – N/A / 4802 Screensaver_Invoked – N/A / 4803 Screensaver_Dismissed
  46. 46. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Kullanıcı yönetimiyle ilgili eventler: – 624: Yeni kullanıcı tanımlama – 626: Kullanıcıyı enable etme – 636: Bir kullanıcı grubunda değişiklik yapma (ör: Administrators grubuna kullanıcı ekleme) – 642: Kullanıcı hesabında değişiklik
  47. 47. LOG ANALİZİ Windows Logları • Logon tipleri – 2 tip kullanıcı hesabı bulunur: – Lokal hesaplar – Active Directory (Domain) hesapları – 2 tip logon yapılır: – Interactive (etkileşimli) – Network (uzak)
  48. 48. LOG ANALİZİ Windows Logları • Domain kullanıcısı ile kişisel bilgisayara giriş ve file server'a erişme senaryosu: – A/D'de "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538) • Lokal kullanıcı ile kişisel bilgisayara ve file server'a giriş senaryosu: – Kullanıcı bilgisayarında "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Account Logon" eventi (680) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538)
  49. 49. LOG ANALİZİ Windows Logları • Windows event loglarının uzakta saklanması – Windows Vista altındaki sistemler syslog logları gibi uzakta saklama imkanı sağlamaz. Bunun için üçüncü taraf yazılımlar kullanılması gereklidir. Windows Vista ve üzeri işletim sistemleri event loglarını gönderme imkanı sağlarlar (http://technet.microsoft.com/en-us/library/cc748890.aspx) • Windows firewall loglarının analizi: – Firewall log dosyası genellikle C:WINDOWSpfirewall.log dosyasında bulunur
  50. 50. LOG ANALİZİ Uygulama Seviyesindeki Loglar • Web sunucu logları. Örnek loglanabilir alanlar: – Client IP Address – Server IP Address – Server Port – Method – URI Stem – URI Query – HTTP Status – Bytes Sent – Bytes Received – Host – User Agent – Cookie – Referrer
  51. 51. LOG ANALİZİ Uygulama Seviyesindeki Loglar • DHCP logları. DHCP log alanları: – ID – Date – Time – Description – IP Address – Host Name – MAC Address
  52. 52. OTURUM 2 Ağ Temelli Analiz
  53. 53. AĞ TEMELLİ ANALİZ Ağ Teknolojisi ve Dinleme • TCP/IP • Ağ Servisleri • Sniffer’lar • Sessiz Sniffer (yüksek güvenlik ihtiyaçları için) – Adres çözümleme yapan yazılımlar ARP, NetBIOS, DNS trafiği üretir – Sniffer yazılımlarının da açıklıkları vardır – Yazılım çözümleme yapmayacak şekilde konfigüre edilebilir – Ağ arayüzünde ARP, NetBIOS protokolleri geçersiz hale getirilebilir – Transmit tellerinin iptal edilmiş kablolar kullanılabilir
  54. 54. AĞ TEMELLİ ANALİZ Ağ Temelli Analizin Hedefleri • Olay sonrası için: – Bir bilgi güvenliği olayı ile ilgili şüpheleri doğrulamak veya ortadan kaldırmak – Adli bilişim analizi için ek bilgi temin etmek – Saldırının eriştiği hedef kapsamını belirlemek – Saldırıya karışan tarafları tespit etmek – Ağ üzerinde olan olayların zaman çizgisini oluşturmak • Olay tespiti için: – Ağ üzerindeki anormallikleri analitik yöntemlerle (istatistiksel değişimlerle) ve alarm verisi ile tespit etmek
  55. 55. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Alarm Verisi • IDS alarmları • Örnek Snort kuralı: – alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";) – alert tcp 172.16.1.7 any -> any any (msg: "Outbound connection attemp from Web server"; flags: S;)
  56. 56. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Oturum Verisi • Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Gönderilen Veri, Alınan Veri, Bağlantı Durumu • Ağ kullanım istatistikleri: MRTG, NTOP, v.b. • Flow veri formatları: – Cisco Netflow verisi – Argus Flow verisi (açık kaynak kodlu) • Tam içerik verisinden oturum bilgisi çıkarma: Wireshark, argus gibi ağ interface'ini dinleyerek oturum verisi üretebilen araçlar ve tcptrace gibi araçlar tam içerik verisini barındıran dosyaları okuyarak oturum verisi üretebilir
  57. 57. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Araçlar: – Tcpdump – wireshark (GUI), tshark (Command Line, yani scriptable) • Tüm ethernet frame'inin kaydedilmesi için "tcpdump" için "-s 1514" opsiyonunun kullanılması gerekir. Öntanımlı paket kayıt boyutu 68 byte'tır. • "tcpdump" kullanımında "-n" opsiyonunun kullanılması name resolution'ı (reverse DNS sorgularını) ve port numaralarının bilinen servis isimlerine çevrimini engelleyerek sadece numerik verileri görüntülemesini sağlayacaktır
  58. 58. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Unix platformlar için ayrıntılar: – Unix sistemlerde arp desteği olmadan bir arayüzü ayağa kaldırmak için: ifconfig eth0 up -arp – Unix sistemlerde bir prosesi background'da çalıştırmak için: komut sonuna "&" işareti eklenir – Unix sistemlerde komutun ilgili kullanıcı logout olması durumunda dahi çalışması için: "nohup komut &" şeklinde komutun çalıştırılması
  59. 59. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Ağ üzerinden iletilen verinin yeniden oluşturulması – TCPFlow (ör: # tcpflow -v -r sample1.lpc port 21) – Wireshark (Follow TCP Stream aracı) – Networkminer (http://www.netresec.com/?page=NetworkMiner) – Dataecho (http://sourceforge.net/projects/data-echo/)
  60. 60. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Tam içerik hacminin takibi için: – Unix sistemlerde: df –h – Windows sistemlerde: treesizefree (DEFT-Extra içinde de yer almaktadır) • CPU kullanım oranlarını izlemek için: – Unix sistemlerde: top – Windows sistemlerde: TaskManager
  61. 61. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Genel kabul görmüş paket saklama formatı – pcap (libpcap ve winpcap kullanan yazılımlarca üretilir) – Paket dosyalarını zaman aralığı veya dosya büyüklüğüne göre bölerek saklama • Sniffer filtreleri (Berkeley Packet Filter formatı) – Basit örnek: – ip host ace and not helios (ace sunucusunun gönderici veya alıcı olduğu ancak helios sunucusunun gönderici veya alıcı olmadığı IP paketlerini yakalamak için) – Daha ince detaylı örnek: – gateway snup and ip[2:2] > 576 (gateway "snup" aracılığı ile gönderilmiş ve uzunluğu 576 byte'tan daha yüksek IP paketlerini yakalamak için)
  62. 62. AĞ TEMELLİ ANALİZ Ağ Cihazları Logları • AAA logları (TACACS ve RADIUS sunucuların kullanıldığı durumlarda) • Syslog logları • snmp ile toplanan bilgiler • Firewall logları
  63. 63. OTURUM 3 Adli Bilişim Altyapısı İçin Hazırlık
  64. 64. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Temiz ve yeterli büyüklükte saklama cihazları • Write-blocker • Delil disklere uygun connector ve kablolar • Fotoğraf makinesi • Delil saklamak için uygun antistatik torbalar, kasalar, etiketler • CPU gücü ve RAM kapasitesi yüksek bilgisayar(lar) • Hızlı CD / DVD sürücüleri / yazıcıları • Gerekirse yedek kasetleri ve yedek sürücüleri • Elektrik kablo uzatma araçları • Çokça Cat5 veya üzeri kablo ve hub'lar
  65. 65. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Çokça yazılabilir CD ve DVD • Etiketler / CD kalemi • Bilgisayar tornavida seti • Yedek güç araçları (UPS, yedek laptop pili, v.b.) • Kanıt saklama zinciri (chain of custody) formları • Yedek çantalar • Donanım temini için adres: http://www.forensic-computers.com/
  66. 66. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Forensic duplication yazılımları • Forensic analiz yazılımları • Canlı analiz için güvenilir işletim sistemi komutları (Unix komutları için mümkünse statik linklenmiş) ve analiz uygulamaları – Unix için hazırlanabilecek örnek uygulamalar / komutlar: ls, dd, des, file, pkginfo, find, icat, lsof, md5sum, netcat veya cryptcat, netstat, pcat, perl, ps, strace, strings, truss, df, vi, cat, more, gzip, last, w, rm, script, bash, modinfo, lsmod, ifconfig – Windows için hazırlanabilecek örnek uygulamalar / komutlar: cmd.exe, PsLoggedOn (sysinternals), rausers (resource kit), netstat, FPort (foundstone), PsList (sysinternals), ListDLLs (sysinternals) ya da Process Explorer (proses ve ilişkileri analiz için GUI uygulama - sysinternals), nbtstat, arp, kill (resource kit), md5sum (cygwin), rmtshare (resource kit), netcat veya cryptcat, PsLogList (sysinternals), ipconfig, PsInfo (sysinternals), PsFile (sysinternals), PsService (sysinternals), auditpol (resource kit), doskey
  67. 67. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Bootable linux dağıtımları (DEFT, Helix veya diğer linux dağıtımları) • Canlı analiz için geliştirilmiş özel yazılımlar: – Nirsoft (ör: IEHistoryView, USBDeview, WhatInStartup, PassView) – Sysinternals (ör: Process Monitor, AccessEnum, PsTools) – Foundstone (ör: Fport, BinText, Rifiuti) – Registry fark takibi için yardımcı uygulamalar (ör: regshot) – Password dumper yazılımlar (ör: LSASecretsDump, pwdump6, VNCPassView) • Windows Resource Kit uygulamaları (ör: rausers, rmtshare, auditpol, kill gibi) • Port scanner, application mapper yazılımlar • Parola kırma yazılımları, rainbow tabloları r (ör: LSASecretsDump, pwdump6, VNCPassView)
  68. 68. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Dosya kripto kırma yazılımları • Çeşitli formatta imajları görüntüleyebilen viewer uygulamalar • Çeşitli formatta e-posta arşivlerini açabilen e-posta istemcileri • Online kaynaklara erişebilmek ve araştırma yapabilmek için internet bağlantısı • Canlı analiz için önceden hazırlanmış script'ler (Windows ve Unix ortamlar için) • Sanal makine ortamları (ör: VMWare) • Raw (ör: OSFMount) ve sanal makine imajlarını (VMWare Disk Mount) mount etmek için yardımcı yazılımlar • Raw imajları VMWare disklerine çevirmek için ProDiscover Basic • Registry analizi için: AccessData (ticari) Registry Viewer, Prodiscover Basic Registry Viewer (Windows dizini üzerinden seçilir), RegRipper scriptleri
  69. 69. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Saldırıya hazırlık için kritik dosyalar için bütünlük kontrollerinin yapılması • Kritik dosya hash'lerinin saklanması • Host based IDS'ler
  70. 70. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Donanım ihtiyaçları • Monitor port ayarı yapılabilecek güçlü switchler • Tap cihazları • Sniffer yazılımını çalıştıracak ve gelen ağ genişliğini karşılayabilecek interface'e sahip bilgisayar • Tam veri analizi yapabilmek için yeterli büyüklükte saklama ortamı
  71. 71. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Yazılım ihtiyaçları • Alarm verisi üretmek için IDS yazılımı • Oturum verisi üretmek için flow verisi (Cisco netflow veya farklı flow verisi üretebilir) üreten yazılım • İçerik verisi analizi ve/veya ağ üzerinden iletilen veri ve dosyaların oluşturulabilmesi için gerekli yazılımlar
  72. 72. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık İzlenebilir bir ağ topolojisi • Ağ bölümlemesi • Erişim kontrolleri • Choke point'ler (http trafiğinin proxy üzerinden geçirilmesi gibi) • Ağ erişim kontrolü (NAC) • Merkezi loglama altyapısı (TACACS, RADIUS, v.b.)
  73. 73. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Ekip ve eğitim imkanları • Temel ağ yönetimi ve güvenliği eğitimi • Disk temelli forensic teori ve araç kullanım eğitimleri • Olay müdahale süreç eğitimi 73
  74. 74. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Log ve sistem altyapısı • Ortak zaman sunucu kullanımı • Log korelasyonu ve anahtar kelime arama imkanları • Sistemlerden bağımsız saklama ortamı kullanma • Log normalizasyonu, IP, NetBIOS ve diğer isimlendirmelerin kullanımı • Active Directory'den karşılığı alınan SID'ler için isim bilgilerinin saklanması (Event Viewer SID tutar ve kullanıcı adı bilgisini görüntülendiğinde AD'den sorgular) • Log yedekleme altyapısının oluşturulması • Sistem ve konfigürasyon yedeklerinin saklanması
  75. 75. BTRisk Hakkında 2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri bilgi güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda çözüm üretmektedir. BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını mümkün hale getirmektedir. BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir hale getirmiştir. Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir: Pentest Hizmetleri Bilgi Güvenliği ve BT Yönetişim Hizmetleri Bilgi Güvenliği Operasyon Hizmetleri Teknik Güvenlik Denetim Eğitimleri Yönetişim ve Denetim Eğitimleri Özgün ürünlerimiz aşağıdaki gibidir: 5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü
  76. 76. blog.btrisk.com @btrisk /btrisktv /btrisk

×