Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Recherche sur l'incident

10.4. Recherche sur l'incident

Examiner une br�che informatique correspond � examiner la sc�ne d'un crime. Des d�tectives rassemblent les preuves, notent tous les indices et font l'inventaire des pertes et des dommages. L'analyse d'un compromis informatique peut �tre men�e soit lorsque l'attaque est en cours, soit en r�trospective.

Bien qu'il ne soit pas recommand� de faire confiance aux fichiers journaux d'un syst�me exploit�, il existe d'autres utilitaires pour vous aider dans votre analyse. Le but et les fonctions de ces outils varient, mais, en g�n�ral, ils cr�ent des copies image-bit de m�dia, mettent en relation des �v�nements et des processus, montrent des informations de syst�mes de fichiers de bas niveau et r�cup�rent des fichiers effac�s si possible.

Il est �galement conseill� d'enregistrer toutes les actions de recherches ex�cut�es sur un syst�me compromis � l'aide de la commande script, comme dans l'exemple suivant�:

script -q <file-name>

Remplacez <file-name> par le nom du fichier pour le journal script. Vous devriez toujours enregistrer le fichier journal sur un m�dia plut�t que sur le disque dur du syst�me compromis — une disquette ou un CD-ROM fonctionne particuli�rement bien dans ce cas.

En enregistrant toutes vos actions, un suivi d'analyse est cr��, ce qui peut devenir de valeur si l'agresseur est un jour arr�t�.

10.4.1. Collecte d'une image preuve

La cr�ation d'une copie image-bit de m�dia est une premi�re �tape faisable. Dans le cas de travail m�dico-l�gal de donn�es, c'est un besoin. Il est conseill� de cr�er deux copies�: une pour l'analyse et la recherche, et l'autre pour �tre stock�e avec l'original en tant que preuves lors de d�marches l�gales.

Vous pouvez utiliser la commande dd qui fait partie du paquetage coreutils de Red Hat Enterprise Linux pour cr�er une image monolithique d'un syst�me exploit� en tant que preuve dans une enqu�te ou pour comparer avec des images certifi�es. Supposez que vous ne souhaitiez l'image que d'un seul disque dur d'un syst�me. Connectez ce disque � votre syst�me en tant que esclave, puis utilisez la commande dd pour cr�er le fichier image, comme dans l'exemple suivant�:

dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1

Cette commande cr�e un seul fichier nomm� image1 � l'aide d'une taille de bloc de 1k pour la vitesse. Les options conv=noerror,sync obligent la commande dd � continuer � lire et vider des donn�es m�me si des mauvais secteurs sont trouv�s sur le disque suspect. Il est maintenant possible d'�tudier le fichier image r�sultat et m�me d'essayer de r�cup�rer des fichiers effac�s.

10.4.2. Collecte d'informations apr�s la br�che

Le sujet d'analyse et d'�tudes m�dico-l�gales num�riques est en lui-m�me tr�s �tendu, mais les outils sont surtout sp�cifiques aux architectures et ne peuvent pas �tre appliqu�s de fa�on g�n�rique. Cependant, la r�ponse aux incidents, l'analyse et la restauration sont des sujets importants. Avec les propres connaissances et exp�riences, Red Hat Enterprise Linux peut �tre une plate-forme parfaite pour effectuer ces genres d'analyse, vu qu'il inclut plusieurs utilitaires pour effectuer la r�ponse et la restauration apr�s la br�che.

Le Tableau 10-1 d�taille certaines commandes pour l'audit et la gestion de fichiers. Il offre �galement quelques exemples qui peuvent �tre utilis�s pour identifier correctement les fichiers et les attributs de fichiers (comme les permissions et les dates d'acc�s) afin que vous puissiez rassembler davantage de preuves ou d'�l�ments pour l'analyse. Ces outils, combin�s avec les syst�mes de d�tection d'intrusions, les pare-feu, les services endurcis et autres mesures de s�curit�, peuvent aider � r�duire les d�g�ts potentiels au cours d'une attaque.

NoteRemarque
 

Pour de plus amples informations sur chaque outil, veuillez consulter leurs pages de manuel respectives.

CommandeFonctionExemple
ddCr�e une copie image-bit (ou vidage sur disque) de fichiers et de partitions. Combin� avec un contr�le des md5sum de chaque image, les administrateurs peuvent comparer l'image, avant la br�che, d'une partition ou d'un fichier au syst�me qui a subi la br�che pour voir si les sommes correspondent. dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt
grepTrouve des informations (texte) utiles � l'int�rieur de fichiers et de r�pertoires, comme les permissions, les changements de scripts, les attributs de fichiers et autres. Utilis� le plus souvent avec un tube apr�s d'autres commandes comme ls, ps ou ifconfigps auxw |grep /bin
stringsAffiche les cha�nes de caract�res imprimables d'un fichier. Cela est surtout utile pour rechercher des anomalies dans des ex�cutables, comme les commandes mail vers des adresses inconnues ou enregistrant sur un fichier journal non standard.strings /bin/ps |grep 'mail'
fileD�termine les caract�ristiques de fichiers selon le format, le code, les biblioth�ques li�es et le type de fichier (binaire, texte et autre). Cette commande est utile pour d�terminer si un ex�cutable, comme /bin/ls a �t� modifi� � l'aide de biblioth�ques statiques, un signe s�r que l'ex�cutable a �t� remplac� par un utilisateur malveillant.file /bin/ls
findRecherche des fichiers particuliers dans les r�pertoires. Cet outil est utile pour chercher la structure de r�pertoires par mot-cl�, heure et date d'acc�s, permissions, etc. Cela peut s'av�rer utile pour les administrateurs qui effectuent des analyses g�n�rales de syst�me sur des fichiers ou r�pertoires particuliers. find -atime +12 -name *log* -perm u+rw
statAffiche diverses informations sur un fichier, y compris la date de sa derni�re utilisation, ses permissions, les d�finitions des bit UID et GID, etc. Utile pour contr�ler la derni�re fois qu'un ex�cutable de syst�me qui a subi une br�che a �t� utilis� ou modifi�.stat /bin/netstat
md5sumCalcule la somme de contr�le de 128-bit � l'aide de l'algorithme hash md5. Vous pouvez utiliser la commande pour cr�er un fichier texte qui contient la liste de tous les ex�cutables essentiels qui pourraient �tre modifi�s ou remplac�s dans un compromis de s�curit�. Redirigez les sommes vers un fichier pour cr�er une base de donn�es de sommes de contr�le, puis copiez le fichier sur un m�dia en lecture seule, comme un CD-ROM.md5sum /usr/bin/gdm >>md5sum.txt

Tableau 10-1. Outils d'audit de fichiers

 
 
  Published under the terms of the GNU General Public License Design by Interspire