Jump Bag & Incident Response Team

Bu yazımda sizlere Incident handling ve response aşamasında elimizin altında olması gereken ve tabiri caizse vaktinde deprem dede diye tanımladığımız Ahmet Mete Işıkara (Allah rahmet etsin) hocamızın sürekli evimizin girişinde tutmamızı söylediği “Deprem Çantasından “, bilişim camiasının tabiri ile “Jump bag veya to go bag ” den ve içinde basit anlamda neler olması gerektiğinden bahsetmeye çalışacağım. Unutulmaması gereken birşey varki bu yazıyı profesyonel dostlarım okurken “ Bu da olsa iyi olurdu” diyebilirsiniz çünkü bu bir ilk müdehale ve ilk analiz çantasıdır. Maksadımız kurumunuza bir zararlı yazılım bulaştığında veya bir olay olduğunda analiz edip, nereden geldiğini nasıl davrandığını ve buna karşı nasıl önlem almanız gerektiği konusunda size ışık tutması içindir. Bugün malesef binlerce dolarlar harcayıp güvenlik sistemleri alınıyor ve yanlış bir konfigürasyondan dolayı  tutuğunuz köşeden gol yiyebiliyorsunuz. Bu çantanında amacı, bu tür bir durumu analiz etmek için ilk aşamada dışarıdaki bir firmaya para vermeden kendi kaynaklarınız ile tespit etmektir. Olay adli bir sürece girdiği  veya kritik bir boyuta geldiği zaman bu çantamızdan ziyade bir Forensics analiz odasına ihtiyacınız olacaktır. Bu tür bir olayın şirketinizin başına yılda kaç defa geleceğini hesap ettiğinizde ve sürekli dinamik, yetkin bir uzman personel tutmanız gerektiğini unutmamak gerekirse, büyük boyuttaki adli vakaları dışarıdan hizmet almanız daha doğru olacaktır. Çantamızın içinde olması gereken temel anlamda yazılım veya ürünlere bakacak olursak;

Boş CD, DVD ve Writer: Analiz edeceğiniz malware’i v.b yazmak veya sistemin imajını almak için

Imaj Oluşturma Yazılımları

Burada dikkat edilmesi gereken bir konu varki bazen imaj alma dediğimizde konu yanlış anlaşılabiliyor. Acronis, Ghost v.b imaj alma yazılımları disk’e veri yazdığı ve orjinali ile oynayıp sıkıştırıp aldığı için bizim işimizi görmüyor. Bahsettiğim imaj  binary  dediğimiz şekilde alabilmeli ve diskin orjinal halini alabilmeli,

 

Linux ortamında  “ dd ” :

Linux distroları ile varsayılanda gelen bu şahane komut ile diskin raw imajını kolaylıkla alabilirsiniz.

Windows Ortamında “FTK imager”

Ücretsiz olan bu yazılım ile disk imaj alabileceğiniz gibi, memory imaj almadan tutun, silinen dosyaları recovery etmeye, dosyalara SHA1 MD5 hash oluşturmaya kadar işlem yapabilirsiniz. Portable versiyonu olmasıda ayrı bir güzel tarafı diyebiliriz. FTK_Imager

Forensic Software

Sleuth Kit : Linux ve Windows ortamında CLI üzerinden kullanabileceğiniz ücretsiz dijital forensics yazılımı

Autopsy: Sleuth Kit için front end bir yazılım olarak düşünebilirsiniz. Timeline Analysis, Hash Filtering, File System Analysis ve Keyword Searching gibi ekstra özellikleri mevcut.

EnCase, X-Ways gibi ücretli yazılımlarla tabiki daha fazla analizler yapabilir, adli bilişim anlamında geçerlilik sağlayabilirsiniz fakat dediğim gibi bizim amacımız ilk analiz olduğu için yaklaşık 1000 $ ile 7000$ arasında paraları bu yazılımlara harcamak işimize gelmiyor.

Investigative Tools

Biraz önce bazı forensic araçlarından bahsetsemde günümüzde artık bunlar modifiye edilmiş, linux-unix base işletim sistemlerinin içine gömülü bir şekilde geliyor. Bunlara verilebilecek en güzel örneklerden biride SANS institute’nin “ Investigative Forensics Toolkit (SIFT)”  dir . Başlıca içersinide (VM imajları mevcuttur.)

-Sleuth Kit :  Digital forensics için kullabilirsiniz

Log2timeLine : farklı log dosylarındaki  timestep’leri script yazmakla uğraşmadan basit bir şekilde extract etmenizi sağlayan framework’dür. Glog2timeline GUI versiyonudur.

Wireshark: Network üstünde sniff edilmiş paketleri analiz edebileceğiniz bir tool’dur

Volatility : Memory image’ları analiz edebilirisiniz.

Ssdeep ve md5deep : hash kontrolü yapabileceğiniz tool’lardır.

bkz:

http://digital-forensics.sans.org/community/downloads

http://www.caine-live.net/page5/page5.html

http://www.oxygen-forensic.com/en/

http://www.deftlinux.net/download/

Ethernet Tap(Terminal Access Point):

Nedir bu TAP  : Passive network dinleme cihazı diyebiliriz ve konumlandırıldığı networkde  üzerinden geçen bütün trafiği analiz edeceğiniz makinaya realtime olarak atar. Network’den anlayan arkadaşlar peki SPAN port’da aynı işi yapıyor neden TAP alalım diyebilir. Bu yüzden biraz farklarından bahsetmekte fayda var.

Snip20160305_1

 

Tabiki TAP cihazının dezavantajlarıda var, pahalı olması, switch başka bir IP adresine trafiğin kopyasını yollayabilirken (uzaktan yönetebilir) TAP sadece üzerinden geçen trafiği monitor  portuna yollayabilir.  Özet olarak detaylı bir analiz yapmak isterseniz TAP gerekiyor aksi halde SPAN port’da işinizi görecektir.

Laptop:  Çantada mutlaka olmazsa olmazıdır. Analiz için kendi makinanızı değil bu makinayı kullanmanız gerekiyor. Bahsettiğimiz forensics yazılımlarının iso’larını veya live cd’lerini bu makinada açabilirsiniz.

Patch Kablo: Bildiğimiz Cross-Over kablosu fakat kaliteli olmasına dikkat edin.

Console Kablosu : Fw, switch, IPS v.b cihazlara bağlanabilmek için (USB dönüştürücüğü unutmayalım)

Solid State Drives(SSD):  Büyük miktardaki dataları hızlı bir şekilde analiz etmek için çantamızda mutlaka bulunurmalıyız.

RAM: Bazı durumlarda extra ram’e ihtiyaç duyulabilir.

Telefon Rehberi: Olaylara müdehale aşamasında başınızda birçok kişi olabiliyor ve o an arayacağınız destek almanız gereken kişileri unutabiliyorsunuz. Bu tür durumlara karşı bir telefon rehberi olmasında fayda var ve bu rehberi isim sırasına göre değil olay sırasına göre sıralamanız, hangi durumda kimleri aramanız gerektiğini daha net ortaya koyar.

Anti-statik plastik kutu: Taşıyacağınız elektronik aygıtın zarar static elektrikten zarar görmemesi için.

Incident Response Formu: Olay için alacağınız kayıt, yani 5 W (Who, What, When, Where, Why) ve How   sorularının cevabını yazacağınız form.

Not Defteri: Çalışma esnasında alacağınız kayıtlar

Kamera : Sorduğunuz soruları ve yaptığınız müdehaleyi kayıt altında tutmak, daha sonraki analiz hatta Lesson Learned aşamasında işinize yarayacaktır.

El Feneri, Tornavida, RJ-45 connector, Kalem, Cımbız, Hareket edebilen ufak ayna 

Temel anlamda çantamızda olması gereken bunlar diyebiliriz. Tabiki bunları arttırmak bizim elimizde. Benim burada yazdıklarım sadece çanta içinde olması gerekenlerdi.  Çantanız ne kadar donanımlı olursa olsun, olay müdehale aşamasında en önemli etken, “ Takım olmaktır “ Incident Response ve Incident Handling team’leri bir kurumun vazgeçilmezidir. Bu team önceden belli olmalıdır ki olay anında herkes görevini otomatik olarak yapabilmeli.

Incident Response Team

Malware Forensics & Network Forensics Specialist : Olaya müdehale edecek uzman

Network Admin (Sistem ile ilgili  log ve monitoring gibi kayıtları verebilmesi, troubleshooting )

Network Admin (Network ile ilgili log ve  monitoring gibi kayıtları verebilmesi, troubleshooting  )

HR (Personel farkındalığı oryantasyonları düzenlemek ve koordinasyon)

Disaster Recovery & Backup ( Olası bir durumda geri dönüş senaryosunu gerçekleştirmek için)

HelpDesk (Müdehale zamanına kadar geçen süreci yönetmeli, son kullanıcının alacağı aksiyonları kontrol altında tutmalı )

Preparation dediğimiz yani testi kırılmadan önceki en önemli aşamalardan biride mutlaka eğitim. Kurumlar personellerini Phishing ataklarına ve fake call ataklarına karşı sürekli güncel tutmaları gerekiyor. Phisme, sptoolkit v.b oltalama  araçları  ile kendi  personellerinize saldırı yaparak onların böyle bir tuzağa düştüğünde ne gibi sonuçları doğuracağını anlatabilir, hatta bütçe varsa belirli çizgi filmler ile desteklenmelidir.  Olaylara müdehale ekibinin dinamizminin ayakta tutabilmek içinse belirli aralıklarda şirket içi CTF (Capture The Flag) düzenlenmelidir. Bir sonraki yazımda Preparation aşamasını örneklerle açıklayacağım. Bu yazımızın amacını pek dağıtmamak konu bütünlüğü için daha doğru olacaktır.

Zaman ayırıp okuduğunuz için teşekkürler.

Leave a Reply

Your email address will not be published. Required fields are marked *

*