Криминалистика на виртуальных частных серверах

Question

Криминалистика на виртуальных частных серверах

Поэтому в наши дни, когда речь заходит о том, что взломанные машины используются для распространения вредоносного ПО и бот-сети C&C, мне не ясна одна проблема: что делают правоохранительные органы, когда они определили сервер как источник или контроллер атаки? APT и этот сервер является VPS на моем кластере / центре обработки данных?

Они забирают всю машину?

С этим вариантом, похоже, связано много побочного ущерба, поэтому я не уверен, что произойдет и каковы наилучшие практики для системных администраторов, чтобы помочь правоохранительным органам в их работе при сохранении нашей работы!

2

virtual-machines vps datacenter forensics

Источник

intiha 04 окт '12 в 07:07

1 ответ

Решение

Другие вопросы по тегам virtual-machines vps datacenter forensics

Journeyman Geek 04 окт '12 в 07:21 2012-10-04 07:21 · Accepted Answer · 2012-10-04 07:21

(Отказ от ответственности - я специалист по компьютерной экспертизе и управлению компьютерной безопасностью. Местные законы и протоколы LEO могут отличаться)

Насколько я знаю, я на самом деле не видел протоколы, конкретно относящиеся к VPS. Здесь есть на что посмотреть. Правоохранительные органы не уклонялись от захвата совместно принадлежащих серверов в прошлом или даже несвязанных серверов "на всякий случай", и, как правило, весьма откровенный побочный ущерб для них не является проблемой. Если в машине были доказательства, это ОЧЕНЬ вероятно, что они захватят все это. Таким образом, первая линия защиты заключается в том, чтобы не оказаться в ситуации, когда это вообще может произойти.

Практически говоря, адепт-криминалист может захотеть провести живую криминалистику, чтобы проверить поведение подозрительного сервера "на месте". Они могут также найти резервные копии, полезные для определения, когда возникла проблема. Предполагая, что вы имеете дело с одним, то есть. Тем не менее, должным образом подготовленные специалисты по криминалистике встречаются реже, чем можно было бы надеяться. У меня в классе по ряду причин немало копов, и во многих местах криминалисты - это копы, которые изучали криминалистику, а не сисадмин или специалист по кибернетической экспертизе. работать на правоохранительные органы. Разобраться с последним может быть проще, чем с первым. Еще лучше. Позвольте юридическому отделу справиться с этим, и просто делайте то, что вам нужно.

Внутри компании это именно то, что вам нужно учитывать при планировании IR/DR - поскольку захват сервера - это катастрофа. Есть ли у вас правила для информации, которую вы можете передать правоохранительным органам? Можете ли вы сотрудничать с ними для документирования передачи аппаратного обеспечения (что облегчает обе ваши жизни - они начинают цепочку поставок, и вы будете с ними в лучших отношениях). Также хорошо, если у вас нет случайная куча не сисадминов возиться с вашей проводкой.

Теоретически, если время простоя было проблемой, может быть вариант получить сервер из резервного пула и восстановить его содержимое из последней резервной копии. Это просто еще одна проблема - пока у вас есть хорошая полная документация и резервные копии, у вас должно быть все, что вам нужно.

Несколько полезных указаний на то, на что будет смотреть полиция, будут из таких мест, как SANS и ACPO. Также поговорите с юридическим отделом вашей компании о местных требованиях.