Wat te doen nadat je gehackt bent; checklist met 11 punten
Veel security artikelen bespreken maatregelen om infectie door malware en aanvallen door computercriminelen te voorkomen. Maar wat als je ondanks alle preventie toch gehackt wordt? Waar begin je, wat moet je doen en hoe kun je herhaling voorkomen. Hieronder 11 punten die kort een antwoord geven.
- Controleer de status en activiteiten van systemen en het netwerk voor en na de hack.
- Laat de "crime scene" onaangetast. Niet alleen is dit nodig voor forensisch onderzoek, aanwijzingen over de activiteiten van de cracker zouden anders verloren kunnen gaan.
- Licht belangrijke mensen in, zoals de advocaat, management, security experts en justitie.
- Probeer er achter te komen waar de dreiging vandaan komt. Ga er niet standaard vanuit dat het om een "outsider" gaat. Veel incidenten worden door de eigen werknemers veroorzaakt.
- Isoleer het verdachte systeem. Haal het systeem uit het netwerk, maar vergeet niet eerst te documenteren wie het systeem heeft aangeraakt en wat er precies gedaan is.
- Schakel het systeem uit. In belang van het onderzoek en om bewijs te bewaren moet de oorspronkelijke staat onaangetast blijven.
- Maak een exacte kopie van de hardeschijf van het systeem.
- Bekijk de audit logs. Zoek uit wanneer bepaalde incidenten plaatsvonden.
- Zoek naar passwords/password prompts in het besturingssysteem en op de hardeschijf.
- Zoek naar vreemde bestanden. Controleer of en wanneer er bestanden zijn aangepast.
- Weet wanneer je moet stoppen. Soms is het lastig om bewijs te vinden, vindt politie de zaak niet belangrijk genoeg en klagen gebruikers over downtime. In dit geval is het beter om het systeem opnieuw te installeren.
Reacties (17)
27-01-2006, 10:14 door
SirDice
1 kan niet omdat je daarmee 2 in de weg zit..
Als je er daadwerkelijk een zaak van wilt maken moet je NOOIT, NOOIT, NOOIT zelf gaan zitten rommelen.. Alles wat je doet kan het eventuele bewijs "vernietingen" of zodaning aanpassen dat het niet meer te gebruiken is bij een eventuele rechtzaak. Stekker d'r uit en wachten op de forensische onderzoekers..
Als je er daadwerkelijk een zaak van wilt maken moet je NOOIT, NOOIT, NOOIT zelf gaan zitten rommelen.. Alles wat je doet kan het eventuele bewijs "vernietingen" of zodaning aanpassen dat het niet meer te gebruiken is bij een eventuele rechtzaak. Stekker d'r uit en wachten op de forensische onderzoekers..
1 wil niet noodzakelijk zeggen dat je 2 in de weg zit.
Je kan ook op alle andere systemen kijken zoals switchen,
routers, relays etc... of er wel verkeer komt van het
geinfecteerde machine
Je kan ook op alle andere systemen kijken zoals switchen,
routers, relays etc... of er wel verkeer komt van het
geinfecteerde machine
27-01-2006, 10:47 door
Constant
punt 7. zou punt punt 2 moeten zijn. Wat is het verschil tussen punt 6 en
punt 2? ik krijg niet de indruk te maken te hebben met een professioneel
forensisch werkprogramma.
punt 2? ik krijg niet de indruk te maken te hebben met een professioneel
forensisch werkprogramma.
Uhm.... Punt 2 zit niet punt 1 in de weg, en het is
ook niet hetzelfde als punt 6. Zoals je kunt lezen
gaat punt 2 over de fysieke omgeving, en niet om de
software. Vingerafdrukken op een toetsenbord bijvoorbeeld...
ook niet hetzelfde als punt 6. Zoals je kunt lezen
gaat punt 2 over de fysieke omgeving, en niet om de
software. Vingerafdrukken op een toetsenbord bijvoorbeeld...
27-01-2006, 11:29 door
SirDice
Punt 2 zit niet punt 1 in de weg,
Goed lezen, ik zei dat punt 1 punt 2 in de weg zit en niet andersom.. Zoals je kunt lezen gaat punt 2 over de fysieke omgeving, en niet om de software. Vingerafdrukken op een toetsenbord bijvoorbeeld...
Nee, wederom goed lezen.. Often clues that will lead you to either the cracker's activities or the cracker himself are subtle and indirect, found mainly in the state of things as you discovered the hack. Further, data in a computer is very volatile, and the evidence you seek may be erased by continued usage of the system.
Er word een analogie gemaakt met "echte" forensisch onderzoekers die handschoenen dragen om te voorkomen dat zij het bewijs "aantasten".Een bij elkaar geraapt zooit dooddoeners, en zeker geen handvest hoe je
moet handelen.
Alleerst mijn problemen hiermee: Mensen die systemen en netwerk
(kunnen) controleren zijn niet altijd van security maar bijvoorbeeld van
infrastructuur of soms zelfs helemaal niet van de organisatie waar het over
gaat. Iemand die iets vreemds constateert hoeft niet altijd degene te zijn
die daadwerkelijk actie onderneemt.
In 99.9% van alle werkelijke gevallen kunnen CSI fans helemaal niets
doen.
De machine UITZETTEN kan vaak niet eens (productie?) en is vaak
FORENSISCH gezien ook niet handig. Immers, een machine die uit staat
KAN voor de cracker tekenen zijn dat zijn pogingen ontdekt zijn en DAN
gaat ie zeker zijn sporen wissen.
Mensen inlichten MAG vaak niet eens, zeker geen advocaten of justitie.
Alsof advocaten of management ergens verstand van hebben.
Een kopie maken van een harde schijf... Veel NAE's HEBBEN geeneens
een 'harde schijf'. Of het bekijken van audit logs? Die audit logs hadden nu
juist al moeten roepen DAT er iets fout was... Dat is de omgekeerde wereld.
Enne, politie doet zowiezo geen ene <piep> zolang koninklijk bloed er niets
mee te maken heeft. Sterker nog, de politie die nog enigzins verstand van
zaken had, wordt opgeheven as-we-speak.
moet handelen.
Alleerst mijn problemen hiermee: Mensen die systemen en netwerk
(kunnen) controleren zijn niet altijd van security maar bijvoorbeeld van
infrastructuur of soms zelfs helemaal niet van de organisatie waar het over
gaat. Iemand die iets vreemds constateert hoeft niet altijd degene te zijn
die daadwerkelijk actie onderneemt.
In 99.9% van alle werkelijke gevallen kunnen CSI fans helemaal niets
doen.
De machine UITZETTEN kan vaak niet eens (productie?) en is vaak
FORENSISCH gezien ook niet handig. Immers, een machine die uit staat
KAN voor de cracker tekenen zijn dat zijn pogingen ontdekt zijn en DAN
gaat ie zeker zijn sporen wissen.
Mensen inlichten MAG vaak niet eens, zeker geen advocaten of justitie.
Alsof advocaten of management ergens verstand van hebben.
Een kopie maken van een harde schijf... Veel NAE's HEBBEN geeneens
een 'harde schijf'. Of het bekijken van audit logs? Die audit logs hadden nu
juist al moeten roepen DAT er iets fout was... Dat is de omgekeerde wereld.
Enne, politie doet zowiezo geen ene <piep> zolang koninklijk bloed er niets
mee te maken heeft. Sterker nog, de politie die nog enigzins verstand van
zaken had, wordt opgeheven as-we-speak.
27-01-2006, 13:25 door
SirDice
Immers, een machine die uit staat KAN voor de cracker tekenen zijn dat zijn pogingen ontdekt zijn en DAN gaat ie zeker zijn sporen wissen.
Hoe kan een cracker z'n sporen wissen als de machine in kwestie uit staat?Door SirDice
kwestie uit staat?
Het vrij logische: verder kijken dan den neus lang is. ErImmers, een machine die uit staat KAN voor de cracker
tekenen zijn dat zijn pogingen ontdekt zijn en DAN gaat ie
zeker zijn sporen wissen.
Hoe kan een cracker z'n sporen wissen als de machine intekenen zijn dat zijn pogingen ontdekt zijn en DAN gaat ie
zeker zijn sporen wissen.
kwestie uit staat?
van uit gaan dat een hacker alleen op die machine sporen
achter laat is niet slim.
Daarbij moet je er vrij zeker van zijn dat je een goede
image van de status van de machine hebt want met alleen hdd
kopieen mis je alsnog veel sporen.
27-01-2006, 15:44 door
Constant
Als je een computer uitzet dan wis je het RAM geheugen, de inhoud
daarvan moet je bij het betere forensische werk eerst veiligstellen.
@SirDice: de hacker laat op veel meer plekken sporen achter dan het
einddoel.
Stap 1 moet zijn: raadpleeg een forensisch IT expert alvorens tot de
volgende stappen over te gaan.
daarvan moet je bij het betere forensische werk eerst veiligstellen.
@SirDice: de hacker laat op veel meer plekken sporen achter dan het
einddoel.
Stap 1 moet zijn: raadpleeg een forensisch IT expert alvorens tot de
volgende stappen over te gaan.
27-01-2006, 15:56 door
G-Force
Goed. Er is kritiek op het eerste stappenplan van deze thread. Ik moet
zeggen : sommige bijdragen snijden inderdaad hout, zoals de bijdrage
van Constant. Graag een verzoek aan de vakmensen om dan per systeem
wel het volledige protocol te publiceren voor forensisch onderzoek naar
een hack, zodat iedereen zijn voordeel er mee kan doen.
Dus een lijst van de top 11 in de juiste volgorde, wat er WEL gedaan moet
worden en wat NIET.
zeggen : sommige bijdragen snijden inderdaad hout, zoals de bijdrage
van Constant. Graag een verzoek aan de vakmensen om dan per systeem
wel het volledige protocol te publiceren voor forensisch onderzoek naar
een hack, zodat iedereen zijn voordeel er mee kan doen.
Dus een lijst van de top 11 in de juiste volgorde, wat er WEL gedaan moet
worden en wat NIET.
27-01-2006, 16:50 door
SirDice
Ok. Dat een cracker op meerdere systemen sporen achter kan laten klopt natuurlijk alleen als er ook daadwerkelijk meerdere systemen zijn.. Als het om een enkele, rechtstreeks op Internet aangesloten, machine gaat niet.
Door Constant
Stap 1 moet zijn: raadpleeg een forensisch IT expert alvorens tot de volgende stappen over te gaan.
Helemaal mee eens.. Waarschijnlijk mag je zelf niet eens vervolg stappen nemen... Anders dan logfiles van bijv. je firewall opleveren.. Eigenlijk is er maar 1 algemene stap: de expert inschakelen. De rest is helemaal afhankelijk van de infrastructuur en wat er gebeurd is.Stap 1 moet zijn: raadpleeg een forensisch IT expert alvorens tot de volgende stappen over te gaan.
27-01-2006, 18:59 door
Constant
- Er zitten ook sporen op de pc van de hacker zelf.
- Hackers maken vaak gebruik van een proxy of een andere gehackte pc,
zodat ze niet direct zichtbaar zijn, deze computers bevatten ook sporen.
- Hackers maken vaak gebruik van een proxy of een andere gehackte pc,
zodat ze niet direct zichtbaar zijn, deze computers bevatten ook sporen.
27-01-2006, 20:02 door
ProtectionCompany
Het blijft een vreemd lijstje.
Punt 1 Om dit te doen moet je rommelen op het gehacked systeem.
Dit lijkt mij vanuit forensische oogpunt niet wenselijk.
Punt 2 lijkt me logisch
Punt 3 lijkt me logisch
Punt 4 Ook hiervoor moet je rommelen op het gehacked systeem, niet
doen dus.
Punt 5 Inderdaad uit het netwerk halen, gewoon de netwerkkabel er
uit en niets anders!!!. Het tweede deel niet doen.
Punt 6 Niet doen uit het netwerk halen en INGESCHAKELD laten.
Punt 7 tm 11 Ook hiervoor moet je rommelen op het gehacked systeem,
niet doen dus.
Het belangrijkste in de lijst ontbreekt, schakel deskundige hulp in. Met dit
soort lijstjes denken veel systeembeheerder dat alles zelf kunnen doen. Nee dus!!!
IT Forensisch onderzoek moet gebeuren door deskundigen en
niet door systeembeheerders of ander IT figuren.
Punt 1 Om dit te doen moet je rommelen op het gehacked systeem.
Dit lijkt mij vanuit forensische oogpunt niet wenselijk.
Punt 2 lijkt me logisch
Punt 3 lijkt me logisch
Punt 4 Ook hiervoor moet je rommelen op het gehacked systeem, niet
doen dus.
Punt 5 Inderdaad uit het netwerk halen, gewoon de netwerkkabel er
uit en niets anders!!!. Het tweede deel niet doen.
Punt 6 Niet doen uit het netwerk halen en INGESCHAKELD laten.
Punt 7 tm 11 Ook hiervoor moet je rommelen op het gehacked systeem,
niet doen dus.
Het belangrijkste in de lijst ontbreekt, schakel deskundige hulp in. Met dit
soort lijstjes denken veel systeembeheerder dat alles zelf kunnen doen. Nee dus!!!
IT Forensisch onderzoek moet gebeuren door deskundigen en
niet door systeembeheerders of ander IT figuren.
ik denk dat punt 2 punt 1 niet in de weg zit omdat je als het intern is je
diegene uit zijn kruk kan lichten en dan is het hele probleem opgelost
maar ach wat zeur ik nou
diegene uit zijn kruk kan lichten en dan is het hele probleem opgelost
maar ach wat zeur ik nou
quote
Licht belangrijke mensen in, zoals de advocaat, management, security
experts en justitie.
---------
minister zalm zou hier best eens iets mee kunnen
you tax is rising
Licht belangrijke mensen in, zoals de advocaat, management, security
experts en justitie.
---------
minister zalm zou hier best eens iets mee kunnen
you tax is rising
28-01-2006, 18:15 door
G-Force
Het belangrijkste in de lijst ontbreekt, schakel deskundige hulp in. Met dit soort lijstjes denken veel systeembeheerder dat alles zelf kunnen doen. Nee dus!!!
Het lijkt me dan ook logisch dat er een aantal GOEDE afspraken moeten
worden gemaakt met deskundigen ingeval van hacking, zodat men bij een
systeem compromittering niet voor verassingen komt te staan!
Als er zo snel mogelijk deskundige hulp nodig is, dan moeten de
betreffende personen ook wél komen opdagen!
Eigenaardig lijstje om een aantal redenen: het lijstje is
veel te lang en er staan onlogische danwel onverstandige
dingen in. Met name punt 6, het uitzetten van het systeem is
erg ondoordacht. De kans dat het systeem niet meer opkomt
moet als aanwezig worden beschouwd waardoor het forensisch
werk bemoeilijkt wordt. Beter is het om de server, met
losgekoppeld van het netwerk, aan te laten staan. Ook al
doet een worm of virus vernietigend werk. Dat gedrag maakt
deel uit van de zgn. handtekening ervan en draagt zo bij in
de opsporing.
Marc
veel te lang en er staan onlogische danwel onverstandige
dingen in. Met name punt 6, het uitzetten van het systeem is
erg ondoordacht. De kans dat het systeem niet meer opkomt
moet als aanwezig worden beschouwd waardoor het forensisch
werk bemoeilijkt wordt. Beter is het om de server, met
losgekoppeld van het netwerk, aan te laten staan. Ook al
doet een worm of virus vernietigend werk. Dat gedrag maakt
deel uit van de zgn. handtekening ervan en draagt zo bij in
de opsporing.
Marc
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.