Friday, 15 February 2013

Набор для исследования компьютерных инцидентов - кофе от Microsoft forensic cofee!

     Для тех кто еще сомневается, что в предыдущих частях речь шла о чем-то полезном я могу заметить следующее – совсем недавно в 2009 году Microsoft работал над проектом под кодовым названием Cofee.




      Что же это такое? Программный комплекс Cofee (Computer Online Forensic Evidence Extractor – интерактивный извлекатель доказательств из компьютеров) представляет собой USB-накопитель, на которой записано более 150 специализированных программ, помогающих собирать электронные доказательства нелегальной деятельности на месте преступления. Технически, система Cofee в большей степени ориентирована на работу с цифровыми уликами - фотографиями, записями мобильных телефонов, данными аудио и видео наблюдения. Однако, пожалуй, главным преимуществом технологии являются ее развитые аналитические возможности - Cofee способна создавать целостные данные из фрагментарных доказательных элементов таким образом, чтобы их можно было представить в суде.


     Не каждый может получить в свое распоряжение флэшку с Cofee – Microsoft собирается тщательно контролировать распространение столь мощного инструмента. По некоторым неподтвержденным сведениям, инструменты Cofee позволяют обойти самые стойкие пароли с помощью специальных функций, тайно встроенных в Windows. Кроме того, утилиты Cofee позволяют извлечь электронные свидетельства преступлений с компьютеров таким образом, чтобы не оставлять за собой никаких следов, способных повлиять на принятие этих доказательств в суде.

     Заметили аналогию? А ведь этим занимается не кто нибудь, а Microsoft ! А вы говорите…) Не акцентируясь на механизме сбора данных, хочу обратить ваше внимание на самую полезную вещь в Cofee – это корелляцию выходных данных. Вот это самая полезная штука !


     Ну, а для самых любопытных даю ссылку на сам пакет (Forensic CLI), который был описан в первых двух частях.

Wednesday, 13 February 2013

Набор для исследования компьютерных инцидентов, часть 2.

А вот вам вторая часть практического документа для исследователя.

reg query "HKLM \ Software \ Microsoft \ Updates \ Internet Explorer 6 \ SP1 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Internet Explorer 6 \ SP2 \" / v
@ echo ОС WinXP
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP1 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP2 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP3 \" / v
@ echo ОС Win2003
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \ SP2 \" / v
reg query "HKLM \ Software \ Microsoft \ Updates \ Windows 2003 \ SP3 \" / v
@ echo запрос через MBSA
mbsacli / hf / v
@ echo запрос через WMI
cscript hotfixes.vbs
где hotfixes.vbs имеет вид:
strComputer = "."
Set objWMIService = GetObject ( "winmgmts:" _
& "(ImpersonationLevel = impersonate)! \ \" & StrComputer & "\ root \ cimv2")
Set colQuickFixes = objWMIService.ExecQuery _
( "Select * from Win32_QuickFixEngineering")
For Each objQuickFix in colQuickFixes
Wscript.Echo "Компьютер:" & objQuickFix.CSName
Wscript.Echo "Сервиспак ID:" & objQuickFix.HotFixID
Wscript.Echo "Описание:" & objQuickFix.Description
Wscript.Echo "Дата установки:" & objQuickFix.InstallDate
Wscript.Echo "Под каким пользователем установлено:" & objQuickFix.InstalledBy
Next 

  Важной информацией может стать расширенный перечень не системного ПО установленного в ОС [10]:
@ echo запрос через WMI
cscript installed.vbs
где installed.vbs имеет вид
strComputer = "."
Set objWMIService = GetObject ( "winmgmts: \ \" & strComputer & "\ root \ default")
Set colItems = objWMIService.ExecQuery ( "Select * From InstalledSoftware")
For Each objItem in colItems
Wscript.Echo "Key name:" & objItem.KeyName
Wscript.Echo "Display Name:" & objItem.DisplayName
Wscript.Echo "Display Version:" & objItem.DisplayVersion
Wscript.Echo "Install Location:" & objItem.InstallLocation
Wscript.Echo "Installation Date:" & objItem.InstallDate
Wscript.Echo "Install Source:" & objItem.InstallSource
Wscript.Echo "Uninstall String:" & objItem.UninstallString
Next 

Monday, 11 February 2013

Набор для исследования компьютерных инцидентов, часть 1.


    Лет пять назад читывал один очень интересный документ по исследованию компьютерных инцидентов. Автор этого документа подавал его даже для печати в солидный журнал. Но оказалось, что у рецензента было свое видение главного определения  "Компьютерный инцидент". Также резко выделялось практическое направление документа, что со слов того же рецензента будет мало понятно читателям журнала. Возможно он прав - есть глянцевые издания для теоретиков, главное формул побольше. 
   Поэтому сегодня предлагаю это документ вам. Сами можете оценить насколько он практичен.


    Компьютерный инцидент - это аномальное явление, которое может влиять на конфиденциальность, целостность и доступность информации. Такой случай может указывать как на сбой в системе так и на злонамеренные действия. Сегодня субъектами совершения злоупотребления с использованием информационных технологий могут быть как сотрудники финансово-хозяйственных структур, так и посторонние лица, не работающие в банковских структурах - злоумышленники. Последние в большинстве случаев работают самостоятельно, по собственной инициативе, но не исключается также их сговор с отдельными работниками кредитно-финансовых учреждений. Поэтому общепринятый термин "офицер безопасности" приобрел иной смысл - информационного. Только когда за защиту каждого хоста корпоративной сети будет отвечать опытный офицер безопасности, имеющий в своем распоряжении необходимые инструменты защиты, можно будет говорить об адекватных мерах в отношении возможных внештатных случаев. Экспертиза аномального явления требует некоторого времени не только на поиск соответствующих специалистов, но и на ее производство, а при исследовании часто важным фактором, позволяющим сохранить необходимую доказательную информацию, является оперативность. Именно поэтому исследования компьютерных инцидентов приходиться проводить теми силами, которые существуют в данный момент. В этом случае исследователь сам не застрахован от ошибок [2].
  Поставленная проблема имеет два аспекта: общие ошибки, допускаемые соответствующими сотрудниками отделов защиты информации при расследовании случаев, связанных с компьютерами и защиту (блокирование или уничтожение) информации, установленный на компьютерах их непосредственными пользователями или злоумышленником. 

Friday, 1 February 2013

Защита листа в MS Excel - теперь это шутка !


       По случаю обнаружения сюрприза от MS Excel cегодняшний пост. 

     Но все по порядку. Вчера обратился ко мне коллега с просьбой помочь заполнить некую форму в MS Excel. Форму ему прислали сверху, поэтому часть ячеек предварительно была защищена от изменения паролем дабы исполнитель не делал лишних ошибок. Но автор формы тоже был не промах и не проверив внешние связи выслал форму как есть. Это привело к неожиданному результату – часть формул приняло вид типа «=СУММ(D10;'C:\Documents and Settings\Pupkin\Local Settings\Temporary Internet Files\Content.IE7\DFGRETGFG\[Tabla.1.xls]1 rozd'!$E$7:$E$9)» 
     Очевидно что править такую радость нет возможности ибо лист защищен и эта формула тоже. 

     Что делать? 

     Самый старый способ – это копирование всего листа на новое место и там правка и формул и форматирования. Но форматирование делать долго, да и теряется защита листа. Вдруг автору документа не понравится?) 

   Оказывается с появлением MS Excel 2007 существует более изящный способ. Так как теперича файл XLSX имеет формат ZIP-архива, то его можно разложить на составляющие xml–файлы и rels-отношения . 

Версия на печать

Популярное