Набор для исследования компьютерных инцидентов - кофе от Microsoft forensic cofee!

     Для тех кто еще сомневается, что в предыдущих частях речь шла о чем-то полезном я могу заметить следующее – совсем недавно в 2009 году Microsoft работал над проектом под кодовым названием Cofee.

      Что же это такое? Программный комплекс Cofee (Computer Online Forensic Evidence Extractor – интерактивный извлекатель доказательств из компьютеров) представляет собой USB-накопитель, на которой записано более 150 специализированных программ, помогающих собирать электронные доказательства нелегальной деятельности на месте преступления. Технически, система Cofee в большей степени ориентирована на работу с цифровыми уликами - фотографиями, записями мобильных телефонов, данными аудио и видео наблюдения. Однако, пожалуй, главным преимуществом технологии являются ее развитые аналитические возможности - Cofee способна создавать целостные данные из фрагментарных доказательных элементов таким образом, чтобы их можно было представить в суде.

     Не каждый может получить в свое распоряжение флэшку с Cofee – Microsoft собирается тщательно контролировать распространение столь мощного инструмента. По некоторым неподтвержденным сведениям, инструменты Cofee позволяют обойти самые стойкие пароли с помощью специальных функций, тайно встроенных в Windows. Кроме того, утилиты Cofee позволяют извлечь электронные свидетельства преступлений с компьютеров таким образом, чтобы не оставлять за собой никаких следов, способных повлиять на принятие этих доказательств в суде.

     Заметили аналогию? А ведь этим занимается не кто нибудь, а Microsoft ! А вы говорите…) Не акцентируясь на механизме сбора данных, хочу обратить ваше внимание на самую полезную вещь в Cofee – это корелляцию выходных данных. Вот это самая полезная штука !

     Ну, а для самых любопытных даю ссылку на сам пакет (Forensic CLI), который был описан в первых двух частях.

Набор для исследования компьютерных инцидентов, часть 2.

А вот вам вторая часть практического документа для исследователя.

reg query "HKLM \ Software \ Microsoft \ Updates \ Internet Explorer 6 \ SP1 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Internet Explorer 6 \ SP2 \" / v
@ echo ОС WinXP
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP1 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP2 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP3 \" / v
@ echo ОС Win2003
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \ SP2 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \ SP3 \" / v
@ echo запрос через MBSA
mbsacli / hf / v
@ echo запрос через WMI
cscript hotfixes.vbs
где hotfixes.vbs имеет вид:
strComputer = "."
Set objWMIService = GetObject ( "winmgmts:" _
& "(ImpersonationLevel = impersonate)! \ \" & StrComputer & "\ root \ cimv2")
Set colQuickFixes = objWMIService.ExecQuery _
( "Select * from Win32_QuickFixEngineering")
For Each objQuickFix in colQuickFixes
Wscript.Echo "Компьютер:" & objQuickFix.CSName
Wscript.Echo "Сервиспак ID:" & objQuickFix.HotFixID
Wscript.Echo "Описание:" & objQuickFix.Description
Wscript.Echo "Дата установки:" & objQuickFix.InstallDate
Wscript.Echo "Под каким пользователем установлено:" & objQuickFix.InstalledBy
Next 

  Важной информацией может стать расширенный перечень не системного ПО установленного в ОС [10]:
@ echo запрос через WMI
cscript installed.vbs
где installed.vbs имеет вид
strComputer = "."
Set objWMIService = GetObject ( "winmgmts: \ \" & strComputer & "\ root \ default")
Set colItems = objWMIService.ExecQuery ( "Select * From InstalledSoftware")
For Each objItem in colItems
Wscript.Echo "Key name:" & objItem.KeyName
Wscript.Echo "Display Name:" & objItem.DisplayName
Wscript.Echo "Display Version:" & objItem.DisplayVersion
Wscript.Echo "Install Location:" & objItem.InstallLocation
Wscript.Echo "Installation Date:" & objItem.InstallDate
Wscript.Echo "Install Source:" & objItem.InstallSource
Wscript.Echo "Uninstall String:" & objItem.UninstallString
Next 

Набор для исследования компьютерных инцидентов, часть 1.

    Лет пять назад читывал один очень интересный документ по исследованию компьютерных инцидентов. Автор этого документа подавал его даже для печати в солидный журнал. Но оказалось, что у рецензента было свое видение главного определения  "Компьютерный инцидент". Также резко выделялось практическое направление документа, что со слов того же рецензента будет мало понятно читателям журнала. Возможно он прав - есть глянцевые издания для теоретиков, главное формул побольше. 

   Поэтому сегодня предлагаю это документ вам. Сами можете оценить насколько он практичен.

    Компьютерный инцидент - это аномальное явление, которое может влиять на конфиденциальность, целостность и доступность информации. Такой случай может указывать как на сбой в системе так и на злонамеренные действия. Сегодня субъектами совершения злоупотребления с использованием информационных технологий могут быть как сотрудники финансово-хозяйственных структур, так и посторонние лица, не работающие в банковских структурах - злоумышленники. Последние в большинстве случаев работают самостоятельно, по собственной инициативе, но не исключается также их сговор с отдельными работниками кредитно-финансовых учреждений. Поэтому общепринятый термин "офицер безопасности" приобрел иной смысл - информационного. Только когда за защиту каждого хоста корпоративной сети будет отвечать опытный офицер безопасности, имеющий в своем распоряжении необходимые инструменты защиты, можно будет говорить об адекватных мерах в отношении возможных внештатных случаев. Экспертиза аномального явления требует некоторого времени не только на поиск соответствующих специалистов, но и на ее производство, а при исследовании часто важным фактором, позволяющим сохранить необходимую доказательную информацию, является оперативность. Именно поэтому исследования компьютерных инцидентов приходиться проводить теми силами, которые существуют в данный момент. В этом случае исследователь сам не застрахован от ошибок [2].
  Поставленная проблема имеет два аспекта: общие ошибки, допускаемые соответствующими сотрудниками отделов защиты информации при расследовании случаев, связанных с компьютерами и защиту (блокирование или уничтожение) информации, установленный на компьютерах их непосредственными пользователями или злоумышленником. 

Защита листа в MS Excel - теперь это шутка !

       По случаю обнаружения сюрприза от MS Excel cегодняшний пост. 

     Но все по порядку. Вчера обратился ко мне коллега с просьбой помочь заполнить некую форму в MS Excel. Форму ему прислали сверху, поэтому часть ячеек предварительно была защищена от изменения паролем дабы исполнитель не делал лишних ошибок. Но автор формы тоже был не промах и не проверив внешние связи выслал форму как есть. Это привело к неожиданному результату – часть формул приняло вид типа «=СУММ(D10;'C:\Documents and Settings\Pupkin\Local Settings\Temporary Internet Files\Content.IE7\DFGRETGFG\[Tabla.1.xls]1 rozd'!$E$7:$E$9)» 

     Очевидно что править такую радость нет возможности ибо лист защищен и эта формула тоже. 

     Что делать? 

     Самый старый способ – это копирование всего листа на новое место и там правка и формул и форматирования. Но форматирование делать долго, да и теряется защита листа. Вдруг автору документа не понравится?) 

   Оказывается с появлением MS Excel 2007 существует более изящный способ. Так как теперича файл XLSX имеет формат ZIP-архива, то его можно разложить на составляющие xml–файлы и rels-отношения .