بازپرسی جرایم سایبری – بخش ۶

فصل ۵ پاسخگویی رویداد: بازپرسی‌ها و قانون زنده

ره‌یافت‌های این فصل:

  • قانون زنده در برابر پسامرگ
  • روش‌های زنده‌ی امروزی
  • مطالعه‌ی موردی: زنده در برابر پسامرگ
  • آنالیز رایانه‌ای برای برنامه‌ی هکر دیفندر
  • آنالیز شبکه
  •  خلاصه
  •  مرور فشرده‌ی ره‌یافت‌ها
  •  پرسش‌های متداول

مقدمه

کشیدن یا نکشیدن دوشاخه، مسئله این است. امروزه، بازپرسان جرایم سایبری با وظیفه‌ای خسته‌کننده و فرساینده روبه‌رو هستند: تصمیم‌گیری در این باره که آیا خاموش کردن سیستم رایانه‌ای، مؤثرترین و بهینه‌ترین روش برای گردآوری مدرک الکترونیکی بالقوه است یا نه. به‌طور سنتی، کارشناسان قانون رایانه‌ای بر سر این موضوع توافق داشتند که خاموش کردنِ سیستم رایانه‌ای به‌منظور حفظ مدرک و از بین بردنِ احتمال تغییر اطلاعات، بهترین رویّه پیش از انجام بازرسی است. به خاطر دارم عباراتی مانند «آن را خاموش کنید» و «چیزی را تغییر ندهید»، در طول دوره‌های آموزشی فراوانی که در این سال‌ها در آن‌ها شرکت کرده‌ام، مدام مانند چکش در ذهن من فرو می‌رفتند. اما، یکی از باورهای اشتباه اساسی در این فلسفه این است که قانون رایانه‌ای را با قانون فیزیکی یکسان فرض می‌کنند. باید بگویم که این‌ها یکسان نیستند، چرا که فن‌آوری قانون رایانه‌ای، سریع‌تر از رشته‌های قانونی سنتی مانند پرتابه‌شناسی، خونابه‌شناسی، و آنالیز اثر انگشت تغییر می‌یابد. دومین باور اشتباه این است که ما همیشه همه‌چیز را در صحنه‌ی جرم فیزیکی گردآوری می‌کنیم. در محیط قانون فیزیکی، ما معمولاً از صحنه‌ی جرم فیزیکی عکس می‌گیریم و اقدامات احتیاطی «معقولی» را به‌کار می‌بندیم تا اطمینان یابیم که مدرک مربوطه دچار اختلال نمی‌گردد. حقیقت این است که، در بسیاری از موارد، ما فقط نمونه‌هایی از صحنه‌ی جرم فیزیکی گردآوری می‌کنیم.

با این حال، ما هنوز این روش را به‌عنوان بهترین رویّه پذیرفته‎‌ایم، و خود را رو به این گوشه‌ی قضایی عقب کشیده‌ایم و پشت آن پناه گرفته‌ایم. تکامل تدریجی فن‌آوری، ما را با واقعیت ناملایمی روبه‌رو ساخته است، این‌که گاهی انجامِ آنالیز «زنده» نسبت به آنالیز «پسامرگ» مفیدتر و باصرفه‌تر است. مشکل این‌جا ست که آنالیز زنده، اغلب به دلیل نوشتن در سخت‌درایو، موجب تغییر مدرک می‌گردد. زمان‌های ثبت‌شده‌ی فایل، کلیدهای رجیستری، فایل‌های پایاپای، و حافظه تنها برخی از اقلامی هستند که ممکن است هنگامِ انجام آنالیز در سیستم رایانه‌ای زنده تحت تأثیر قرار گیرند. اغلب، پس از اتمام آنالیز زنده، فایل آمیخته‌ی MD5 به‌دست‌آمده، با فایل آمیخته‌ای که پیش از گردآوری زنده گردآوری شده است، مطابق نیست.

قانون زنده در برابر پسامرگ

چرا باید انجام بازپرسی‌های زنده را هم به‌عنوان روش قانونی معتبری درنظر بگیریم؟ دلیل آن این است که ما مجبوریم! در صفحه‌های پیشِ رو، در این باره بحث خواهم کرد که ما باید از روش‌های سنتیِ قانون رایانه‌ای دل بِکَنیم و رو به مدل قانون زنده حرکت کنیم.

نکته

قوانین پسامرگ و زنده هر دو فن‌آوری‌هایِ گردآوریِ مدرکِ مهمی هستند. اما، در مواردی که شما فقط می‌توانید قانون پسامرگ را اجرا کنید، نیاز به درنظر گرفتنِ سیستم‌های دیگرِ درون محیط بیش‌تر احساس می‌شود. با توسعه‌ی حوزه‌ی دید به‌گونه‌ای که شامل دیگر سیستم‌های موجود در شبکه هم شود، شما درک بهتری از نحوه‌ی عملِ سیستمِ هدف درون محیط محلی خود، پیدا می‌کنید.

تکامل تدریجی تشکیلات تجاری

فن‌آوری به‌گونه‌ای تکامل یافته است که در برخی شرایط معین، انجام بازپرسی‌های زنده تنها گزینه‌ی ممکن است. در ایام قدیم، شبکه‎‌های رایانه‌ای ساده بودند. در جهان امروز، تکامل تدریجیِ کار شبکه‌ی تجاری، اوضاع را برای مدیران سیستم، پرسنل امنیت IT، و مانندِ آن چنان دشوار کرده است که نمی‌توانند در بیش از یک مکان حضور داشته باشند. مدیریت منابع IT فقط در یک مکان می‌تواند کاری هراس‌آور باشد. حالا شِمای بزرگ‌تری از آن را در یک شبکه‌ی شرکتی تصور کنید. بسیاری از شرکت‌ها چندین و چند رایانه در یک مکان دارند. علاوه بر این، ممکن است آن شرکت‌ها چندین مکان در شهر، کشور، یا قاره داشته باشند. چه اتفاقی برای منابع ما می‌افتاد اگر ما برای هر موضوع مشکوک، نفوذ امنیتی، یا میزبان در-خطر-افتاده‌ای مجبور بودیم به هر مکان پاسخ دهیم و رایانه‌ی مربوطه را از شبکه جدا کنیم تا بتوانیم آنالیز قانونی روی آن انجام دهیم؟ این موضوع بدتر از این هم می‌شد اگر تازه پس از آن همه تلاش، زمان، و صرف منابع، به این نتیجه می‌رسیدیم که هیچ کدام از موارد یادشده اصلاً اتفاق نیفتاده است. این موضوع آشناست؟ باید باشد، چرا که هر روز در جهان مجازی اتفاق می‌افتد. اوکداب یکی از رویّه‌های رایجی است که هنگام تشخیص مشکل در شبکه به‌کار گرفته می‌شود. اولین واکنش من نیز همان خواهد بود، و لزوماً فرض ما بر این نخواهد بود که ما تحت حمله قرار گرفته‌ایم، یا این‌که سیستم‌های ما درخطر افتاده‌اند. در محیط قانونی زنده، پرسنل امنیتی IT می‌توانند از راه دور واردِ سیستم شوند، فرآیندهای در حال اجرا را مشاهده کنند، از حافظه‌ی فیزیکی نسخه‌برداری نمایند، و به‌صورت آموزش‌دیده حدس بزنند که آیا باید از راه دور از رایانه تصویربرداری کرد یا نه، یا این‌که برای آنالیز بیش‌تر باید آن را به‌طور فیزیکی از شبکه جدا کرد. در این سناریو، بازپرس، با استفاده از روش‌های قانونی زنده، دیگر مجبور نیست به‌طور فیزیکی به مکان مربوطه پاسخ دهد تا بتواند آن موضوع را بررسی کند، مگر آن‌که با بررسی اولیه‌ی خود،متقاعد به انجام این کار گردد.

تکامل تدریجی ذخیره‌سازی

روزی روزگاری سِروری وجود داشت. این سرور حدود ۶۳۰ ترابایت (TB) حجم داشت. این سرور مسئول انجام عملیات روزانه‌ی شرکت ایکس بود، که به‌صورت ۲۴ ساعته برای مشتریان خود سهام معامله می‌کرد. گمان می‌رفت که این سرور در معرض خطر افتاده است چرا که مقداری ترافیک غیرعادی در فایل‌های ثبت وقایعِ دیوار آتش مشاهده شده بود. این سناریو مشکلات زیر را به ما معرفی می‌کند. مشکل ۱: ما چگونه تصویر این ۶۳۰TB را در درایو خروجی ۲۵۰ گیگابایتی از نوع USB2 جا خواهیم داد؟ مشکل ۲: تصویر گرفتن از درایوی با آن حجم چه مدت طول خواهد کشید؟ مشکل ۳: این دست‌گاه نمی‌تواند خاموش گردد چرا که شرکت دچار خسارات مالی خواهد شد. علاوه بر تمام این موضوعات، باید به خاطر داشته باشیم که تصویری رشته‌بیتی تهیه کنیم، که پیش از این در فصل ۱ در باره‌ی آن بحث شد. اجازه دهید که مشکلات بیان‌شده را یکی‌یکی بررسی کنیم.

مشکل ۱: چنین چیزی ممکن نیست. شما به درایو بزرگ‌تری نیاز دارید.

مشکل ۲: داده‌ها روی سرور بسیار بزرگی (۶۳۰TB) مقیم هستند.

تصویربرداری از کلّ سرور شدنی نیست، اگرچه بِه‌رویّه‌ها تأکید دارند که باید چنین کاری را انجام داد. یکی از دلایل این امر این است: ۶۳۰TB برابر با ۶,۹۲۶,۹۲۳,۲۵۴,۹۸۸,۸۸۰ بایت است. ۶۳۰ ضرب در ۱,۰۹۹,۵۱۱,۶۲۷,۷۷۶ (۱ ترابایت) برابر است با ۶,۹۲۶,۹۲۳,۲۵۴,۹۸۸,۸۸۰ بایت. نگاهی به جدول ۵.۱ بیندازید تا بتوانید حجم‌های بایتی به‌کار رفته در این محاسبه را به‌دست آورید.

جدول ۵.۱ جدول تبدیل بایت

حجم درایونمایش عددی۲ به توان این عدد
۱ کیلوبایت۱,۰۲۴۱۰
۱ مگابایت۱,۰۴۸,۵۷۶۲۰
۱ گیگابایت۱,۰۷۳,۷۴۱,۸۲۴۳۰
۱ تِرابایت۱,۰۹۹,۵۱۱,۶۲۷,۷۷۶۴۰
۱ پِتابایت۱,۱۲۵,۸۹۹,۹۰۶,۸۴۲,۶۲۴۵۰
۱ اِگزابایت۱,۱۵۲,۹۲۱,۵۰۴,۶۰۶,۸۴۰,۰۰۰۶۰

فرض کنیم شما از ICS Image MASSter Solo-3 IT استفاده می‌کنید، که به این معناست که می‌تواند با سرعت ۳ گیگابایت در دقیقه سخت‌درایو را کپی کند.

  • ۶۹۲۶۹۲۳۲۵۴۹۸۸۸۸۰ تقسیم بر ۳۲۲۱۲۲۵۴۷۲ (۳ گیگابایت) برابر می‌شود با ۲۱۵۰۴۰۰ دقیقه در کل.
  • ۲۱۵۰۴۰۰ دقیقه تقسیم بر ۶۰ دقیقه (۱ ساعت) برابر می‌شود با ۳۵۸۴۰ ساعت در کل.
  • ۳۵۸۴۰ ساعت تقسیم بر ۲۴ ساعت (۱ روز) برابر می‌شود با ۱۴۹۳ روز در کل.
  • ۱۴۹۳ روز تقسیم بر ۳۶۵ روز (۱ سال) برابر می‌شود با بیش از ۴ سال زمان برای تصویربرداری از کلّ درایو.

همان‌طور که در محاسبات بالا می‌بینید، تصویربرداری از کل تک‌تکِ بایت‌های درایو، در عمل شدنی نیست. حتی اگر به فرض، توانستید با استفاده از منابع اضافی دیگری آن داده‌ها را تصویربرداری نمایید، آنالیز چنین حجم بزرگی ممکن نیست. تفاوت میان انجام آنالیز روی چنین حجم بزرگی، در مقایسه با اشیاء داده‌ای معین و/ یا سیستم‌های ذخیره‌سازی کوچک، (از منظر قیاس کارآگاهی) معادل است با بازجویی از هر فردی که در همان بلوکی زندگی می‌کند که قتل در آن اتفاق افتاده است (عمل منطقی)، در مقایسه با بازجویی از هر فردی که در همان شهری زندگی می‌کند که قربانی قتل ساکن بوده است (عمل غیرمنطقی).

نکات پنهان…

استفاده از فشرده‌سازی

اگر تصور می‌کنید که استفاده از فشرده‌سازی در حل مشکل گفته‌شده کمک می‌کند، در اشتباه هستید. فشرده‌سازی زمان لازم برای انجام تصویربرداری از سخت‌درایو سرور را افزایش می‌دهد، چرا که الگوریتم فشرده‌سازی نیاز به این دارد که اقلام فراوانی را، پیش از فشرده‌سازی آن‌ها، بررسی و پاک نماید. علاوه بر این، هنوز هم فشرده‌سازی آن سخت‌درایو بزرگ‌تر، درون درایو خارجیِ USB کوچک‌تر غیرممکن است.

مشکل ۳: خاموش کردن سرور نیز نمی‌تواند گزینه‌ی مناسبی باشد چرا که آشکارترین اثر جانبی این کار، خسارتی اقتصادی است که در نتیجه‌ی این کار به شرکت ایکس تحمیل می‌شود. بسیاری از سیستم‌هایی که امروزه وجود دارند، جزء سیستم‌های حیاتی هستند؛ به‌عنوان مثال سیستم‌های پشتیبانی از مراقبت بهداشتی، حمل‌ونقل، و الخ، و خاموشی آن‌ها موجب ایجاد اثرات زیان‌آور بسیاری خواهد شد.

سیستم‌های فایل رمزبندی‌شده

طی چند سال گذشته استفاده از رمزبندی افزایش یافته است. استفاده‌ی روزافزون از آن، مشکل منحصربه‌فردی را برای بازپرسان، در صورت انجام آنالیز پسامرگ، ایجاد خواهد کرد. وقتی رمزبندی در خصوصِ شیء داده‌ای به‌کار گرفته می‌شود، محتوای آن شیء ناخوانا می‌گردد. رمزبندی، در اصل، به‌منظور نامفهوم‌سازی، و گاهی اوقات فشرده‌سازیِ، محتوای شیء داده‌ای موردنظری که رمزبندی می‎‌شود، طراحی شده است. همین که رمزبندی شد، محتوای آن شیء پنهان می‌شود و تفسیر آن تقریباً غیرممکن می‌گردد. رمزبندی این اشیاء داده‌ای به سه روش انجام می‌شود. اولین روش پیاده‌سازی، رمزبندی در سطح فایل است که در آن، فایل‌های مجزا از هم رمزبندی می‌شوند. شکل ۵.۱ محتوای یک فایل رمزبندی‌شده را نشان می‌دهد.

شکل ۵.۱ محتوای فایل هنگامی که با استفاده از FTK Imager متعلق به AccessData رمزبندی شده است

بازرس پیش از انجام آنالیز پسامرگ، ابتدا باید فایل مربوطه را کشف رمز کند. شکل ۵.۲ یک فایل کشف‌رمزشده را نشان می‌دهد. انجام این کار بسیار دشوار خواهد بود، اگر بازپرس به گذرواژه‌ی فایل رمزبندی‌شده دسترسی نداشته باشد. اگر گذرواژه در دست نباشد، باید از یک برنامه‌ی شکستن گذرواژه استفاده کرد. اگر گذرواژه بسیار طولانی باشد، یا فایل مربوطه با پیاده‌سازی و الگوریتم رمزبندی قدرتمندی رمزبندی شده باشد، ممکن است این فرآیند کشف‌رمز نتیجه‌ای در پی نداشته باشد.

شکل ۵.۲ محتوای فایل هنگامی که با استفاده از FTK Imager متعلق به AccessData کشف‌رمز شده است

روش دومی که در رمزبندی به‌کار می‌رود، رمزبندی در سطح برچسب است. در این مورد، برچسبی (مقدار حجم معینی) از سخت‌درایو رمزبندی می‌شود. شکل ۵.۳ یک برچسب رمزبندی‌شده را نشان می‌دهد.

شکل ۵.۳ برچسب رمزبندی‌شده با استفاده از BestCrypt

روش سومی که در رمزبندی یک شیء داده‌ای به‌کار می‌رود، رمزبندی تمام‌دیسک است. این مورد، زمانی است که تمام سخت‌درایو رمزبندی می‌شود. شکل ۵.۴ تصویر قانونیِ یک دیسک کاملاً رمزبندی‌شده را نشان می‌دهد. همان‌طور که مشاهده می‌کنید، محتوای آن ناخوانا و نامفهوم است، و برای بازرس قانونی چندان ارزشی ندارد.

شکل ۵.۴ تصویر قانونیِ سخت‌درایو رمزبندی‌شده با استفاده از FTK Imager متعلق به AccessData

هنگام انجام آنالیز قانونیِ پسامرگ در دو روش اول، بازپرسان اغلب امیدوارند تا مصنوعاتی از فایل رمزبندی‌شده را در حالت کشف‌رمزشده‌ی آن بیابند که ممکن است این مصنوعات در فضای تخصیص‌یافته یا تخصیص‌نایافته باقی مانده باشند. گاهی اوقات، همین که سند مربوطه باز شده است، این مصنوعات ایجاد می‌شوند؛ یا زمانی که دوشاخه کشیده شده است در حالی که فایل مربوطه هنوز روی صفحه‌ی نمایش بوده است. با این‌که این قضیه اثبات‌شده و معتبر است، بازیابی این مصنوعات ممکن است همیشه موفقیت‌آمیز نباشد. علاوه بر این، خودِ خاموش کردنِ صحیح ممکن است شانس شما را برای کشف چنین مدرکی بیش‌تر کاهش دهد. در شکل ۵.۵، مشاهده می‌کنید که برنامه‌ی BestCrypt پیشنهاد می‌دهد که فایل مربوطه را در پوشه‌ی موقتی باز کند، و سپس، زمانی که فایل بسته می‌شود، به‌طور ایمن آن فایل موقت را حذف کند.

وقتی که شما از قانون زنده استفاده می‌کنید، شانسِ مشاهده‌ی محتوای فایل رمزبندی‌شده بسیار بیش‌تر می‌شود. اگر سند مربوطه باز است، به احتمال زیاد در حافظه‌ی فیزیکی بارگذاری شده است. در محیط قانونی زنده، بازپرس می‌تواند تصویری از حافظه‌ی فیزیکی سیستم رایانه‌ای بگیرد و اطلاعات مفیدی جمع‌آوری کند در این باره که در حال حاضر، متهم در حال استفاده از چه فایل‌ها و برنامه‌هایی است. بنابراین، پیش از کشیدن دوشاخه، شاید ارزش آن را داشته باشد که مقداری از زمان خود را به بررسی محتوای حافظه‌ی فیزیکی صرف کنیم. شکل ۵.۶ نمونه‌ای نشان می‌دهد از این‌که چگونه می‌توانیم با استفاده از یک ابزار قانونیِ شبکه از حافظه‌ی فیزیکی تصویر بگیریم.

شکل ۵.۵ ارائه‌یِ عملیات پاکسازی فایل به‌وسیله‌ی BestCrypt

شکل ۵.۶ صفحه‌ی تصویربرداریِ ProDiscover IR متعلق به Technologies Pathways

همین که تصویر مربوطه ایجاد شد، می‌توانیم محتوای آن را بررسی نماییم. در شکل ۵.۷، مشاهده می‌کنید که محتوای فایل رمزبندی‌شده، در قالبی خوانا در گوشه‌ی پایینیِ سمت راست نشان داده شده است. بازیابی این اطلاعات به این دلیل امکان‌پذیر است که فایل مربوطه، توسط کاربری که هم‌اکنون در حالِ کار با این سند است، به حالت کشف‌رمزشده درآمده است. علاوه بر این، در شکل ۵.۸ می‌توانید ببینید که برنامه‌ی BestCrypt در حالِ اجرا بر روی حافظه‌ی فیزیکی است. این اطلاعات نیز در گوشه‌ی پایینیِ سمت راست به نمایش درآمده است.

شکل ۵.۷ یک سند کشف‌رمزشده در حافظه با استفاده از ProDiscover IR متعلق به Technologies Pathways

شکل ۵.۸ نمایی از محتویات حافظه‌ی فیزیکی با استفاده از ProDiscover IR متعلق به Technologies Pathways. توجه کنید که BestCrypt Process در حال اجرا است

در مورد رمزبندی تمام‌دیسک، بازرس قانونی می‌تواند با استفاده از روش‌های قانونی زنده، زمانی که متهم در حال سوار کردنِ درایو مربوطه است، محتوای آن را مشاهده نماید. تنها کاری که باید انجام دهید این است که خیلی راحت آن محتوا را بارگذاری کنید، چرا که درایو مربوطه هم‌اکنون در حال استفاده است و بنابراین، به شکل کشف‌رمزشده است. شکل ۵.۹ نشان می‌دهد که می‌توانیم محتویات درایوِ سوارشده را در حالت کشف‌رمزشده مشاهده نماییم.

شکل ۵.۹ محتویات یک سخت‌درایو کشف‌رمزشده که با استفاده از ابزاری قانونی مانند ProDiscover متعلق به Technologies Pathways، به‌طور زنده سوار شده است

همان‌طور که در مثال‌های پیشین دیدید، رمزبندی، طیفی از مشکلات را برای بازرس قانونی سنتی ایجاد می‌کند. اما با استفاده از روش‌های بازپرسی زنده، می‌توانیم بر این مشکلات و موانع غلبه نماییم.

روش‌های زنده‌ی امروزی

در حال حاضر، چندین شرکت نرم‌افزاری، مشغول تولیدِ نرم‌افزار قانونی شبکه و بازپرسی هستند. Guidance Software، Technologies Pathways، Wetstone Technologies، ASR Data، E-fense، و E Trust by CA تنها برخی از شرکت‌هایی هستند که این نرم‌افزار قانونی و پاسخ رویداد را تولید می‌کنند. این تولیدکنندگان برای انجام بازپرسی‌های زنده طیفی از روش‌ها را به‌کار می‌برند. اولین روشِ به‌کار گرفته‌شده، مدلِ عامل پیش‌مستقر است، که نرم‌افزار ویژه‌ای پیش از وقوع رویداد در سیستم رایانه‌ای نصب می‌شود. این موضوع معمولاً از دید کاربر نهایی پنهان است و همین که از راه دور به آن متصل می‌شوند، فعال می‌گردد. روش دومی که هم‌اکنون از آن استفاده می‌شود، مدل اتصال مستقیم است. در این مدل، به‌وسیله‌ی دست‌گاهی از راه دور مستقیماً با رایانه‌ی هدف اتصال برقرار می‌گردد و نرم‌افزار مربوطه درون حافظه قرار داده می‌شود. این اتصال همچنان فعال باقی می‌ماند تا زمانی که اتصال آن دست‌گاه راه دور قطع گردد. روش سوم، مدل اتصالِ بنا به تقاضا است که رایانه به دست‌گاه هدف متصل می‌گردد و نرم‌افزار مربوطه را با وظیفه‌ای معین درون حافظه قرار می‌دهد. زمانی که وظیفه‌ی صادرشده از سوی دست‌گاه راه دور به‌طور کامل انجام شد، بلافاصله اتصال مربوطه منهدم می‌گردد. در نهایت، برخی از توسعه‌دهندگان نرم‌افزار از یک دیسک راه‌انداز یا سی‌دی-رامِ بازپرسی استفاده می‌کنند. طی آنالیز زنده، یک دیسک روی دست‌گاه زنده بارگذاری می‌شود و پردازشی مجازی با مجموعه‌ای از ابزارهای بازرسی شروع به کار می‌کند. شکل ۵.۱۰ یک دیسک راه‌انداز را نشان می‌دهد که این امکان را به شما می‌دهد تا بازپرسی‌ها و قانون زنده را اجرا کنید.

شکل ۵.۱۰ دیسک راه‌انداز قانون رایانه‌ای، کشف الکترونیکی، و پاسخ رویداد HELIX متعلق به E-fense

مطالعه‌ی موردی: زنده در برابر پسامرگ

بازپرسی‌های زنده به بازپرسان این امکان را می‌دهد تا اطلاعات فرّاری را ضبط کنند که در حالت عادی با استفاده از بازپرسی پسامرگ چنین چیزی ممکن نیست. این اطلاعات می‌توانند شامل پردازش‌هایِ در حالِ اجرا، ثبت وقایع، اطلاعات شبکه، درایورهای ثبت‌شده، و خدمات ثبت‌شده شوند. حتماً می‌پرسید چرا چنین چیزی برای ما مهم است؟ اجازه دهید نگاهی به موردِ خدماتِ در حالِ اجرا بیندازیم و ببینیم که این امر تا چه حد می‌تواند برای ما مهم باشد.

خدماتِ در حالِ اجرا، انواع خدماتی را به ما نشان می‌دهد که در حال اجرا بر روی رایانه هستند. این خدمات، با اولویت بسیار بالاتری نسبت به پردازش‌ها اجرا می‌شوند، و بسیاری از کاربران اصلاً اطلاع ندارند که این خدمات واقعاً وجود دارند. به دلیل اولویت بالای این خدمات و عدم توجه کاربر نهایی به آن‌ها، این خدمات یکی از هدف‌های رایج برای هکرها است. با اجرای بازپرسی زنده، می‌توانیم وضعیت این خدمات را مشاهده نماییم، که می‌تواند در بازپرسی ما نقش تعیین‌کننده‌ای داشته باشد. برای مثال، هکری می‌تواند خدمتِ McShield، که خدمت مربوط به ویروس‌کش McAfee است، را خاموش کند، و سپس دوباره بازگردد و دست‌گاه مربوطه را با بدافزاری مورد حمله قرار دهد.

ممکن است شما در مورد درایورهای ثبت‌شده این‌گونه استدلال کنید که می‌توانستید فهرست این درایورها را در بازپرسی پسامرگ به‌دست آورید. این موضوع صحیح است؛ اما، اگر شما در صحنه‌ی جرمی حضور داشته باشید و بازپرسی زنده‌ای را اجرا کنید، ممکن است بتوانید درایوری را ببینید که متعلق به یک دوربین دیجیتال است. بنابراین می‌دانید که باید همان دور و اطراف به دنبال آن دوربین بگردید. اما اگر آن مکان را ترک می‌کردید و بعداً آن درایور دوربین را پیدا می‌کردید، تنها باید امیدوار بودید که وقتی دوباره به آنجا برمی‌گردید، آن دوربین هنوز همان‌جا باشد. همان‌طور که در مثال پیش نشان داده شد، مشاهده‌ی درایورهای ثبت‌شده، بازپرسان را از دست‌گاه‌های جانبیِ دست‌گاه مظنون آگاه می‌کند. شکل ۵.۱۱ برخی از اطلاعات فرّاری را نشان می‌دهد که شما می‌توانید در باره‌ی وضعیت سیستم‌ها به‌دست آورید.

مشاهده‌ی پردازش‌هایِ در حالِ اجرا به همراه درگاه‌های شبکه‌یِ بازِ مربوطه، یکی از مهم‌ترین ویژگی‌های آنالیز وضعیت سیستم است. دیدزَنیِ سیستم (عملی که از آن برای پی بردن به محتویات مکان خاصی از حافظه استفاده می‌شود) و ارزیابی درست از پردازش‌های در حال اجرا و درگاه‌های به‌کارگرفته‌شده توسط آن‌ها، وظیفه‌ای حیاتی است که به‌هنگام تلاش برای اوکدابِ بازپرسانه باید انجام دهیم. شکل ۵.۱۲ فهرست دقیقی از پردازش‌هایِ در حال اجرایِ یک دست‌گاه هدف را تحت انجام بازپرسی نشان می‌دهد.

شکل ۵.۱۱ نمونه‌ای از اطلاعات سیستم زنده‌ای که می‌توانید با استفاده از LiveWire متعلق به Wetstone به‌دست آورید

شکل ۵.۱۲ نمایی از پردازش‌های در حال اجرا با استفاده از LiveWire متعلق به Wetstone

توجه کنید که در شکل ۵.۱۲ ما نه تنها نام پردازش مربوطه را، بلکه اولویت، تعداد رشته‌ها، تعداد شناسه‌ها، میزان مصرف حافظه، و زمان فعال بودن را نیز می‌توانیم ببینیم. ممکن است باز بپرسید که چرا تمام این چیزها مهم هستند. خوب، اگر شما می‌خواهید تشخیص دهید که فرد موردنظر در حال انجامِ چه کاری است، یا حتی در گذشته چه کارهایی انجام داده‌اند، این اطلاعات حیاتی هستند. علاوه بر این، در جهانِ فایل‌های قابل اجرای مقیمِ حافظه، آنالیز فهرستِ پردازشِ کنونی کاری حیاتی است.

در بازپرسی پسامرگ، حافظه‌ی فیزیکی (RAM) مهم‌ترین تکّه‌ی مدرک است که از دست رفته است. اما، این تکه‌ی تعیین‌کننده از مدرک، با استفاده از ابزارهای بازپرسی و قانونی زنده به‌آسانی ضبط می‌شود، و امکان ضبط تمام محتویات RAM به‌طور محلی و حتی از راه دور وجود دارد. در شکل ۵.۱۳، می‌توانیم محتویات رونوشتی از حافظه را مشاهده نماییم و می‌توانیم واژه‌ی کلیدنگار را در حافظه جست‌وجو کنیم.

شکل ۵.۱۳ جست‌وجوی کلیدواژگانیِ اصطلاحِ کلیدنگار در رونوشتی از حافظه با استفاده از LiveWire متعلق به Wetstone

محتویات داده‌های خام حافظه، حجم عظیمی از اطلاعات را ارائه می‌دهند؛ منتها اگر دست‌گاه مربوطه برای انجام بازپرسی پسامرگ خاموش می‌شد، امکان داشت همه‌ی این اطلاعات از دست بروند. حافظه شامل مدارکی مانند حساب‌های کاربری، گذرواژه‌ها، محتوای اسناد ذخیره‌نشده، و بدافزار است.

هشدار اصطلاح فنی…

بدافزار

بدافزار اصطلاحی است که محدوده‌ی گسترده‌ای از ابزارها را توصیف می‌کند. اما، بدافزارِ حافظه‌مقیم معمولاً همراه با ردگُم‌کُن‌ها، اسب‌های تروجان، کِرم‌ها، و کلیدنگارها دیده می‌شود. مثال زیر حاوی توضیح دقیقی است از این‌که برخی از بدافزارهای حافظه‌مقیم چگونه کار می‌کنند.

آنالیز رایانه‌ای برایِ

برنامه‌ی هکر دیفِندِر

هکر دیفندر، ردگم‌کُنی محبوب است که می‌تواند پردازش‌ها، فایل‌ها، و حتی درگاه‌های باز را پنهان سازد. به‌طور پیش‌فرض، هرگاه هکر دیفندر اجرا می‌شود، تمام فایل‌های دارای پیشوند «hxdef.» پنهان می‌شوند. در نتیجه، همین که هک دیفندر اجرا می‌شود، فایل «hxdef100.ini» که بخشی از هک دیفندر است، پنهان می‌شود. بنابراین، این فایل از دیدِ تمام کاربران و حتی خود مرورگر ویندوز پنهان است. اما، این فایل هنوز هم در حافظه‌ی فیزیکی وجود دارد. شما می‌توانید با استفاده از روش‌های بازپرسی زنده، تصویری لحظه‌ای از حافظه بگیرید و فایلِ «hxdef100.ini» ذخیره‌شده در RAM را شناسایی کنید (شکل ۵.۱۴ را نگاه کنید). همین روش می‌تواند برای آشکارسازیِ هر فایل یا پردازشی که هکر دیفندر آن را پنهان می‌کند، به‌کار رود (شکل ۵.۱۵ را نگاه کنید). در بازپرسی پسامرگ، ممکن است تمام فایل‌ها یا پردازش‌هایِ پنهان‌شده توسط هکر دیفندر برای بازپرس قابل دسترس نباشد. شکل‌های ۵.۱۴ و ۵.۱۵ مدرک مربوط به برنامه‌ی هکر دیفندر در حافظه‌ی فیزیکی را نشان می‌دهند.

شکل ۵.۱۴ هکر دیفندر در حافظه‌ی فیزیکی با استفاده از LiveWire متعلق به Wetstone

شکل ۵.۱۵ نمای دیگری از هکر دیفندر در حافظه‌ی فیزیکی با استفاده از LiveWire متعلق به Wetstone

همان‌طور که پیش از این بیان شد، بازپرسی وضعیت سیستم رایانه، بخش مهمی از هر بازپرسی را تشکیل می‌دهد. این امر کمک می‌کند تا اطلاعات ارزشمندی در موردِ مربوطه گردآوری کنید و احتمال گم شدنِ داده‌هایی که می‌توانند نقش حیاتی در بازپرسی شما داشته باشند، کاهش می‌یابد.

آنالیز شبکه

آن‌چه اغلب در بازپرسی‌های زنده از قلم می‌افتد، محیطی است که رایانه‌ی هدف مقیمِ آنجا است. داده‌های به‌دست‌آمده از دیوار آتش‌ها، مسیریاب‌ها، سیستم‌های نفوذیاب، و الخ، به اندازه‌ی به‌دست آوردن تصویر بزرگ برای بازرس مهم هستند. در مورد هکر دیفندر که پیش از این گفته شد، ممکن است وکیل مدافع این‌گونه استدلال کند که دست‌گاه موکل‌اش از اختیار او خارج و رمز آن کشف شده بود، و او نمی‌توانسته است مرتکب جرم گردد. ممکن است بررسی فایل‌های ثبت وقایعِ دیوار آتش نشان بدهد که فعالیت هکر دیفندر از این رایانه مسدود بوده است، که در آن صورت، چنین استدلالی در باره‌ی ردگم‌کن جای بحث خواهد داشت. شما باید به‌عنوان بازپرس زنده، سعی کنید تا می‌توانید اطلاعاتی در باره‌ی فعالیت شبکه به‌دست آورید. شاید بخواهید که یک ترافیک‌زَن نصب کنید- البته، با مجوز مناسب- و بسته‌های اطلاعاتی ترافیکی را آنالیز نمایید. با استفاده از این روش، می‌توانید مشخص سازید که آیا پیش از انجام آنالیز روی دست‌گاه هدف، شخصی به آن متصل بوده است یا نه. بنابراین به خاطر داشته باشید، شما می‌توانید مدرک اضافه‌ای پیدا کنید؛ مدرکی فراتر از رایانه‌ای که در حال بازرسی آن هستید. به دنبال آن بگردید.

خلاصه

هر چه بیش‌تر پیش می‌رویم، آن‌چه ما هم‌اکنون تحت عنوانِ قانون رایانه‌ای می‌شناسیم، دچار تغییرات فراوانی می‌شود. عرضه‌ی مایکروسافت ویستا به کاربران این امکان را خواهد داد تا سخت‌درایوهای خود را کاملاً رمزبندی کنند. استفاده از دست‌گاه‌های مجازی و مزارع سرور مجازی هر روز بیش از پیش رایج می‌شود. جمع‌آوری فیزیکی سرورهای اینترنتی برای بازرسان قانونی دشوارتر خواهد بود. علاوه بر این، برنامه‌های کاربردی اینترنتی می‌توانند ایستگاه‌های کاری بی‌دیسکی ایجاد کنند، که در این صورت تنها مدرکی که باقی می‌ماند در حافظه‌ی فیزیکی است. در نهایت، تولیدکنندگان نرم‌افزار در حال توسعه‌ی حجم عظیم‌تری از نوعی نرم‌افزار هستند که این نوع نرم‌افزار، با توجه به وجود نگرانی‌هایی در باره‌ی سرقت هویت، می‌تواند به‌طور اطمینان‌بخشی داده‌ها را پاک نماید. به دلیل این تغییرات، و همان‌طور که در مثال‌های این فصل خاطرنشان کردم، من گمان می‌کنم که قانون سنتی غیرکاربردی‌تر از این خواهد شد، و بازپرسی‌های زنده از آن حالت تجملّی تبدیل به یک ضرورت خواهند شد. روش‌های سنتی تا حدی در حال ِمنسوخ شدن هستند. نیاز به اخذ روش جدیدی برای انجام این نوع از بازپرسی‌ها ضروری است. با این‌که سعی می‌کنیم جلوی هر نوع تغییری را بگیریم، حالا دیگر واضح است که زمانی خواهد رسید که بازرس باید با رایانه‌ای زنده تعامل ایجاد کند تا داده‌های حیاتی را بازیابی نماید. با توجه به شرایطی که پیش از این بیان شد، شما باید بتوانید هر قاضی یا هیئت منصفه‌ای را مجاب کنید که چرا به جای روش‌های سنتی قانون زنده به‌کار گرفته شد. البته، اگر واقعاً هیچ کدام از این شرایط وجود نداشت، بهترین کار همین است که همان لحظه دوشاخه را بکشید.

تقدیر و تشکر

تمایل دارم که از همکاران خود کریستوفر اِل. تی. برون و چِت هُسمِر تشکر کنم، به خاطر کمکی که در این فصل به من کردند. دانش و بینش آن‌ها در موضوعات قانون شبکه و پاسخ رویداد بسیار ارزشمند بودند.

مراجع

Brown, Christopher L.T. Computer Evidence Collection & Preservation.Massachusetts: Charles River Media, Inc., 2006.

Chirillo, John. Hack Attacks Revealed. New York, John Wiley & Sons, Inc., 2001.

Mandia, Kevin et al. Incident Response: Investigating Computer Crime.California: Osborne/McGraw-Hill, 2001.

McClure, Stuart et al. Hacking Exposed: Network Security Secrets & Solutions. California: Osborne/McGraw-Hill, 2001.

Szor, Peter. The Art of Computer Virus Research and Defense. New Jersey:Addison-Wesley, 2005.

مرور فشرده‌ی ره‌یافت‌ها

قانون زنده در برابر پسامرگ

  •  در بازپرسی زنده، مدیر سیستم می‌تواند آنالیز را از راه دور انجام دهد.
  •  تصویربرداری از برچسب‌های حجمی بزرگ می‌تواند کاری هراس‌آور باشد.
  •  هنگامی که فایل رمزبندی‎‌شده در حال استفاده است، می‌توان با استفاده از قانون زنده، داده‌ها را به‌دست آورد.
  •  ضبط محتویات حافظه ممکن است در یافتن «حلقه‌ی مفقوده» به شما کمک کند.

روش‌های زنده‌ی امروزی

  •  عامل پیش‌مستقر، نرم‌افزاری است که پیش از وقوع رویداد، روی رایانه نصب می‌شود.
  •  دیسک راه‌انداز می‌تواند برای تماس با بازپرسی‌های زنده به‌کار رود.

مطالعه‌ی موردی: زنده در برابر پسامرگ

  •  بازپرسی‌های زنده به بازپرسان این امکان را می‌دهد تا اطلاعات فرّاری را ضبط کنند که در حالت عادی با استفاده از بازپرسی پسامرگ چنین چیزی ممکن نیست. این اطلاعات می‌توانند شامل پردازش‌هایِ در حالِ اجرا، ثبت وقایع، اطلاعات شبکه، درایورهای ثبت‌شده، و خدمات ثبت‌شده شوند.
  •  خدماتِ در حالِ اجرا، انواع خدماتی را به ما نشان می‌دهد که در حال اجرا بر روی رایانه هستند. این خدمات، با اولویت بسیار بالاتری نسبت به پردازش‌ها اجرا می‌شوند، و بسیاری از کاربران اصلاً اطلاع ندارند که این خدمات واقعاً وجود دارند.
  •  مشاهده‌ی پردازش‌هایِ در حالِ اجرا به همراه درگاه‌های شبکه‌یِ بازِ مربوطه، یکی از مهم‌ترین ویژگی‌های آنالیز وضعیت سیستم است. دیدزَنیِ سیستم (عملی که از آن برای پی بردن به محتویات مکان خاصی از حافظه استفاده می‌شود) و ارزیابی درست از پردازش‌های در حال اجرا و درگاه‌های به‌کارگرفته‌شده توسط آن‌ها، وظیفه‌ای حیاتی است که به‌هنگام تلاش برای اوکدابِ بازپرسانه باید انجام دهیم.

آنالیز رایانه‌ای برای برنامه‌ی هکر دیفِندِر

  •  هکر دیفندر فایل‌ها را از دید کاربر پنهان می‌کند.
  •  مصنوعات ردگم‌کن گاهی در حافظه‌ی فیزیکی یافت می‌شوند.

آنالیز شبکه

  •  شما باید به دنبال مدرکی فراتر از رایانه‌ی هدف باشید.
  •  درک شبکه‌ای که سیستم مربوطه مقیم آنجا است، می‌تواند در انجام بازپرسی زنده به شما کمک نماید.

پرسش‌های متداول

پرسش‌های متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شده‌اند، با این هدف طراحی شده‌اند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید.

پرسش: آیا من می‌توانم بدون داشتن گذرواژه، داده‌های رمزبندی‌شده را در محیط زنده مشاهده نمایم؟

پاسخ: پاسخ مثبت است، مشروط بر آن‌که درایو یا فایل مربوطه روی دست‌گاه متهم به شکلِ کشف‌رمزشده باشد.

پرسش: آیا من می‌توانم پردازش‌های پنهان مانند ردگم‌کن‌ها را روی رایانه‌ی زنده مشاهده نمایم؟

پاسخ: با استفاده از نرم‌افزار مخصوص، می‌توانید پردازش‌ها و فایل‌های پنهان را روی رایانه‌ی زنده مشاهده نمایید.

پرسش: اگر نتوانم تمام درایو را تصویربرداری کنم، آیا می‌توانم فقط فایل‌های موردنیاز خود را کپی نمایم؟

پاسخ: بله، می‌توانید فایل‌هایی را که نیاز دارید با استفاده از نرم‌افزار قانونی زنده کپی نمایید تا اطمینان یابید که کلّ کپی را دارید. هم‌چنین، هنگام انجام این کار یادداشت‌برداری کنید، زیرا ممکن است بعدها مجبور شوید در این باره شهادت دهید که چرا این روش را انتخاب کردید و چه چیزهایی را تغییر دادید- البته اگر چیزی را تغییر داده باشید.

درباره‌ی نویسنده

فرهاد سپیدفکر (بامَن)

نمایش همه‌ی مطالب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 + شانزده =