Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Eventlog
10-11-2010, 18:28 door Anoniem, 19 reacties
Beste,
Ik vroeg mij af, hoe je forensische kunt aantonen dat het event log wel/ niet is aangepast.
Tevens vroeg ik mij af, op welke manier je de event log kan aanpassen en op welke manier je events kan verwijderen.
Groet,
Mathijs
Ik vroeg mij af, hoe je forensische kunt aantonen dat het event log wel/ niet is aangepast.
Tevens vroeg ik mij af, op welke manier je de event log kan aanpassen en op welke manier je events kan verwijderen.
Groet,
Mathijs
Reacties (19)
11-11-2010, 09:19 door
SirDice
Door Anoniem: Tevens vroeg ik mij af, op welke manier je de event log kan aanpassen en op welke manier je events kan verwijderen.
Niet. Althans, dat is de bedoeling. Ik meen me te herinerren dat er wel ergens wat code rondzwerft die losse entries kan verwijderen. Dat lukt echter niet met een draaiend systeem.Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
11-11-2010, 14:00 door
SirDice
Door Anoniem: Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
Het legen van een eventlog wordt gelogd. Het is niet zo heel moeilijk om uit te vinden welk account het is geweest.
11-11-2010, 15:30 door
ej__
Door SirDice:
Door Anoniem: Je zou het kunnen zien aan de datums waarop het eerste event is toegevoegd. Als dat de datum van gisteren is dan is de kans groot dat iemand gisteren je logbestand heeft leeggegooid. Het probleem wordt dan om uit te zoeken door wie en te bewijzen dat deze persoon het gedaan heeft.
Het legen van een eventlog wordt gelogd. Het is niet zo heel moeilijk om uit te vinden welk account het is geweest.Tsss, nog nooit een goede hack gezien blijkbaar. ;)
@Matthijs: Op dezelfde computer kun je forensisch NIET aantonen dat het eventlog niet is veranderd, dat zul je met remote logging moeten doen. SIEM is een toverwoord.
@ej,
Het is Mathijs ;)
Zou je wat meer kunnen vertellen over SIEM ?
Ik heb gekeken op het web en kwam het volgende tegen:
security information and event management
http://www.rsa.com/node.aspx?id=3182
Het is Mathijs ;)
Zou je wat meer kunnen vertellen over SIEM ?
Ik heb gekeken op het web en kwam het volgende tegen:
security information and event management
http://www.rsa.com/node.aspx?id=3182
12-11-2010, 11:16 door
Prlzwitsnovski
Winzapper was jaren geleden koning in event logs editen.
Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
12-11-2010, 11:52 door
ej__
Matthijs: Siem is een uitgebreidere vorm van remote logging. Remote logs zijn per definitie veel moeilijker (zo niet onmogelijk) te veranderen. Alles tot op het moment van stilleggen van de remote logging wordt gelogd, en afwijkingen daarna van de lokale logs zijn eenvoudig aan te geven. Siem biedt daarnaast ook de mogelijkheid tot integratie en analyse van de diverse logs van de verschillende machines, alsmede event correlatie. Inmiddels is het min of meer verplicht gesteld bij omgevingen zoals banken.
In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Er is voldoende te vinden op het web over Siem.
In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Er is voldoende te vinden op het web over Siem.
12-11-2010, 14:04 door
ej__
Door Anoniem: Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
En jij dent dat een computer (althans de timestamps) niet kunnen liegen? Ook ext3 of welk willekeurig filesystem dan ook laat het gewoon toe.
12-11-2010, 14:38 door
SirDice
Door ej__:
En jij dent dat een computer (althans de timestamps) niet kunnen liegen? Ook ext3 of welk willekeurig filesystem dan ook laat het gewoon toe.
Dat was ook mijn idee.Door Anoniem: Hangt ervanaf welk bestandssysteem je gebruikt.
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
In NTFS kan je heel makkelijk data wegschrijven zonder de timestamp aan te passen, in ext3+ word het al moeilijker (3 timestamps..)
Los daarvan is NTFS qua security natuurlijk niet bepaald de koning.
Affijn, je kunt niet zeker zijn of een log is geedit tenzij je het origineel hebt, en dat is niet echt forensisch :)
En jij dent dat een computer (althans de timestamps) niet kunnen liegen? Ook ext3 of welk willekeurig filesystem dan ook laat het gewoon toe.
Verder zou ik graag van bovenstaande Anoniem willen weten wat de argumenten zijn waarop de uitspraak "Los daarvan is NTFS qua security natuurlijk niet bepaald de koning." is gebaseerd.
12-11-2010, 14:46 door
Jos Buurman
Oplossing: oude matrix printer op de kop tikken en je vreselijk belangrijke logregels regel voor regel laten printen.
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).
Iets eenvoudiger: een sluitend proces waarop de logging regel voor regel wordt weggeschreven naar een remote systeem waarbij wijziging niet mogelijk is en uit te sluiten is dat log regels niet aankomen op het remote systeem.
Nog een stap eenvoudiger: log is alleen maar te schrijven door 1 proces (append) en te lezen door ander proces (read-only). Overige processen kunnen er nooit bij. Deze processen zijn secure, auditable en niet wijzigbaar.
De meeste systemen zullen niet aan deze voorwaarden voldoen, het wordt dan lastig om sluitend aan te tonen dat een log al dan niet gecompromiteerd is, tenzij er heel duidelijke indicaties zijn dat dit wel het geval is.
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).
Iets eenvoudiger: een sluitend proces waarop de logging regel voor regel wordt weggeschreven naar een remote systeem waarbij wijziging niet mogelijk is en uit te sluiten is dat log regels niet aankomen op het remote systeem.
Nog een stap eenvoudiger: log is alleen maar te schrijven door 1 proces (append) en te lezen door ander proces (read-only). Overige processen kunnen er nooit bij. Deze processen zijn secure, auditable en niet wijzigbaar.
De meeste systemen zullen niet aan deze voorwaarden voldoen, het wordt dan lastig om sluitend aan te tonen dat een log al dan niet gecompromiteerd is, tenzij er heel duidelijke indicaties zijn dat dit wel het geval is.
Het eventlog systeem van MS is zo gammel als wat. Je kand idd entries via bepaalde code verwijderen. Daar kwam ik tijdens de NT tijd al achter, door een bug in mijn C source.
Yep die code is van mij lol.
Yep die code is van mij lol.
12-11-2010, 15:24 door
ej__
Door Jos Buurman: Oplossing: oude matrix printer op de kop tikken en je vreselijk belangrijke logregels regel voor regel laten printen.
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).
Prima aantoonbaar dat het log al dan niet is aangepast, alleen moet je niet al te veel events op deze manier willen loggen (of een enorme stapel papier gebruiken).
Niet (meer) realistisch.
Iets eenvoudiger: een sluitend proces waarop de logging regel voor regel wordt weggeschreven naar een remote systeem waarbij wijziging niet mogelijk is en uit te sluiten is dat log regels niet aankomen op het remote systeem.
syslogNG bijvoorbeeld.
Nog een stap eenvoudiger: log is alleen maar te schrijven door 1 proces (append) en te lezen door ander proces (read-only). Overige processen kunnen er nooit bij. Deze processen zijn secure, auditable en niet wijzigbaar.
Op 1 systeem? Geen schijn van kans dat je dat ooit kunt aantonen. Niet auditable, wel wijzigbaar. Rootkits anyone? Tenzij je dit op de loghost doet, maar dan is je beveiliging op andere gronden goed gerealiseerd. Niet op basis van ro en scheiding van processen.
De meeste systemen zullen niet aan deze voorwaarden voldoen, het wordt dan lastig om sluitend aan te tonen dat een log al dan niet gecompromiteerd is, tenzij er heel duidelijke indicaties zijn dat dit wel het geval is.
Alle _veilige_ systemen of beter gezegd: omgevingen voldoen wel degelijk aan de voorwaarden. Een systeem is niet veilig te krijgen, een omgeving wel.
In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Dat kan ik niet volgen. Een SIEM en een IPS zijn niet te vergelijken. Een IPS houdt het verkeer (real-time) in de gaten en grijpt al da niet in (tuning kan in derdaad lastig zijn bij zo'n apparaat, terwijl een SIEM juist gebeurde zaken rapporteert/correleert (achteraf) waarbij (veel) meer informatie van verschillende systemen gebruikt wordt. Een SIEM is overigens ook lastig goed in te richten, omdat iedereen andere wensen heeft mbt de output.
12-11-2010, 18:25 door
ej__
Door Anoniem:
IPS werkt uiteindelijk gewoon niet. Siem wel.In mijn opinie heeft Siem meer te bieden dan bijvoorbeeld ips, ips is vreselijk moeilijk, zo niet onmogelijk, goed in te stellen. Het een sluit het ander echter niet uit.
Dat kan ik niet volgen. Een SIEM en een IPS zijn niet te vergelijken. Een IPS houdt het verkeer (real-time) in de gaten en grijpt al da niet in (tuning kan in derdaad lastig zijn bij zo'n apparaat, terwijl een SIEM juist gebeurde zaken rapporteert/correleert (achteraf) waarbij (veel) meer informatie van verschillende systemen gebruikt wordt. Een SIEM is overigens ook lastig goed in te richten, omdat iedereen andere wensen heeft mbt de output.@ej
Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken. Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....
Anti-forensics voor remote logging:
- DoS de remote logging server
- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)
- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)
Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken. Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....
Anti-forensics voor remote logging:
- DoS de remote logging server
- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)
- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)
14-11-2010, 22:44 door
ej__
Door Anoniem: @ej
Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken.
Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken.
Probeer het maar eens in te regelen, je komt voor aardige verrassingen te staan, zeker bij geavanceerde aanvallen.
Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....
So? Your point being? Dan heb je in ieder geval wel aan de vraagstelling voldaan.
Anti-forensics voor remote logging:
- DoS de remote logging server
Probeer daarna maar eens een goede loghost te ddossen. Kon je ook nog wel eens tegenvallen. Idealiter heb je te maken met bijvoorbeeld een OpenBSD loghost (met pf enabled). Veel succes met je DoS.
- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)
Zelfde als hierboven.
- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)
Ja dus.
"Matthijs: Siem is een uitgebreidere vorm van remote logging. Remote logs zijn per definitie veel moeilijker (zo niet onmogelijk) te veranderen. Alles tot op het moment van stilleggen van de remote logging wordt gelogd, en afwijkingen daarna van de lokale logs zijn eenvoudig aan te geven. "
Hoe er wel rekening mee dat een SIEM oplossing tien- tot honderdduizenden euro's kost, en dat een SIEM oplossing dus niets is voor thuisgebruikers.
Hoe er wel rekening mee dat een SIEM oplossing tien- tot honderdduizenden euro's kost, en dat een SIEM oplossing dus niets is voor thuisgebruikers.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.