piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Kaspersky Lab opracował bezpłatne narzędzie do zdalnego gromadzenia dowodów

    Zobacz również

    Aby wyeliminować konieczność podróży odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzył proste narzędzie, przy pomocy którego można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone. BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany

    - Reklama -

    przez wszystkich specjalistów ds. cyberbezpieczeństwa.

     W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami.

    W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.     

    – Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpieczeństwa staje się paląca, ponieważ sprawcy działają w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybkość za wszelką cenę również nie jest rozwiązaniem – musimy dopilnować, aby dowody były „nieskażone”, tak aby dochodzenia były wiarygodne, a wyniki kwalifikowały się do wykorzystania w razie konieczności w sądzie. Nie mogłem znaleźć narzędzia, które łatwo i bezpłatnie pozwalałoby to wszystko osiągnąć, dlatego postanowiłem wziąć sprawy w swoje ręce — powiedział Witalij Kamliuk, autor narzędzia.

    Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej.

    Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania:

    • Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.
    • Zdalne asystowanie w trakcie wykonywania innych czynności (współdzielona sesja, w której badacz nie wykonuje żadnych czynności w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).
    • Przekazywanie złożonych danych do laboratorium w celu ich szczegółowego zbadania.
    • Zdalne skanowanie z użyciem reguł Yara lub systemów antywirusowych.
    • Wyszukiwanie i przeglądanie kluczy rejestru (automatyczne uruchamianie, działające usługi, podpięte urządzenia USB).
    • Zdalne wyodrębnianie plików (odzyskiwanie usuniętych plików).
    • Korygowanie zdalnego systemu po autoryzacji dostępu przez właściciela.
    • Zdalne skanowanie innych węzłów sieciowych (przydatne do zdalnej reakcji na incydent).
    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...