La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1. 2 DiscoveryLive Incident Response Post Mortem Analysis RecoveryLesson Learned 3.

Presentazioni simili


Presentazione sul tema: "1. 2 DiscoveryLive Incident Response Post Mortem Analysis RecoveryLesson Learned 3."— Transcript della presentazione:

1 1

2 2

3 DiscoveryLive Incident Response Post Mortem Analysis RecoveryLesson Learned 3

4 4

5 5

6 L’incidente e’ confermato… Ora cosa faccio?? Faccio finta di niente Spengo tutto/reinstallo (tanto non troverei nulla) Incomincio a dare comandi “a caso” Fermatevi, fate una pausa, prendetevi un caffe’ Cio’ che fate ora (normalmente) puo’ essere fatto con calma tra 10 minuti 6

7 Ogni operazione che fate modifica il sistema Cambia (uno dei) timestamp dei files Sovrascrive settori del disco cancellati Puo’ chiudere connessioni attive 7

8 C’e’ la possibilita’ di implicazioni legali? Si L’analisi dell’incidente deve essere condotta da un esperto No Possiamo procedere cercando di raccogliere il maggior numero di informazioni (integre) possibile 8

9 9

10 10 Forensic Workstation Victim Computer nc -l -k xyzk >> commands.log | nc xyzk Permette di non scrivere sul disco locale del computer vittima preservando l’integrita’ del sistema nc -l -k abcd >> commands.log ssh -x -R xyzk:localhost:abcd | nc xyzk Se la rete non e’ affidabile

11 Volatili (sono quelli che verrebbero persi) System time Network ConnectionsTCP/UDP PortsUsers Logged inFiles OpenedRunning processesRouting tableRunning ServicesLoaded Modules Non Volatili (sono quelli che non verrebbero persi ma che e’ piu’ facile raccogliere “live”) Software packages versionFile system timestampsUsers login (bad)attemptsUsers command history 11

12 Tipo di datoPermanenza Registri di memoria, cachesnanosecondi Memoria (RAM)nanosecondi Connessioni di rete e socketmillisecondi Processisecondi Filesminuti Backupsanni Stampedecine di anni Normalmente si dovrebbe seguire l’ordine di volatilita’ dei dati per raccogliere Informazioni su un incidente. I primi 4 tipi di dato possono essere spesso raccolti solo “live” 12

13 13

14 14

15 $ date System Time $ netstat --program --notrim -n -v -a Network Connections / TCP-UDP Ports $ w Users logged in $ lsof -b -l -P -n -o -R Files opened 15

16 $ ps -auxwwwe Running Processes $ route -n (netstat -r) (ip route) Routing Table $ arp -a ARP table $ lsmod Loaded Modules 16

17 rpm -qa (dpkg --get-selections) rpm -Va Software packages versions last lastlog lastb User’s login (bad)attempts 17

18 18

19 19

20 20

21 21

22 22

23 23

24 24


Scaricare ppt "1. 2 DiscoveryLive Incident Response Post Mortem Analysis RecoveryLesson Learned 3."

Presentazioni simili


Annunci Google