Forense em servidores virtuais privados [fechado]

Navegue suas respostas
2

Portanto, nestes dias com conversas sobre ter máquinas hackeadas sendo usadas para espalhar malware e C & C de botnets, a única questão que não está clara para mim é o que as agências de segurança fazem quando identificam um servidor como fonte ou controlador de ataque / APT e esse servidor é um VPS no meu cluster / datacenter?

Eles levam a máquina inteira?

Esta opção parece ter muitos danos colaterais associados a ela, por isso não sei ao certo o que acontece e quais são as práticas recomendadas para administradores do sistema para ajudar a aplicação da lei em seu trabalho, mantendo nossos empregos!

    
por intiha 04.10.2012 / 09:07

1 resposta

2

(Isenção de responsabilidade - Sou graduado em computação forense e segurança de computadores. As leis locais e os protocolos LEO podem ser diferentes)

Até onde sei, na verdade não vi protocolos especificamente relacionados a VPSs. Há algumas coisas para ver aqui. Agências de aplicação da lei não se esquivaram de confiscar servidores co-propriedade no passado ou mesmo os servidores não relacionados 'no caso' e geralmente, francamente, os danos colaterais não são um problema para eles. Se havia provas na máquina, é muito provável que eles aproveitem a coisa toda. Como tal, a primeira linha de defesa é não estar em uma situação em que isso possa acontecer.

Praticamente falando, um profissional forense perito pode desejar fazer perícias ao vivo para examinar o comportamento do servidor suspeito "in situ". Eles também podem encontrar backups úteis para determinar quando o problema aconteceu. Assumindo que você lida com um, é isso. Dito isso, pessoal forense adequadamente treinado é menos comum do que se espera - há um bom número de policiais na minha classe por uma razão, e em muitos lugares, especialistas forenses são policiais que aprenderam análise forense, não especialistas em computação forense ou cyber forense contratados trabalhar para a aplicação da lei. Lidar com este último pode ser mais fácil que o anterior. Melhor ainda. Deixe o departamento jurídico lidar com isso e faça o que você .

Dentro da empresa, esse é o tipo de coisa que você precisa levar em conta para seus planos de RI / DR - já que ter um servidor é um desastre. Você tem políticas para o tipo de informação que pode liberar para a aplicação da lei? Você pode cooperar com eles para documentar a transferência do hardware (o que torna sua vida mais fácil - eles começam a cadeia de custódia, e você estaria em melhores condições com eles). Também é bom se você não tivesse um monte aleatório de não sysadmins brincando com sua fiação.

Em teoria, se o tempo de inatividade fosse um problema, obter um servidor de um pool sobressalente e restaurar o conteúdo dele a partir do último backup pode ser uma opção. É apenas mais um problema - desde que você tenha uma documentação completa e backups, você deve ter tudo o que precisa em mãos.

Alguns indicadores úteis sobre o que a polícia examinaria seriam de lugares como SANS e ACPO. Converse também com o departamento jurídico da sua empresa sobre quais requisitos locais podem ser.

    
por 04.10.2012 / 09:21

Tags

New-MoveRequest - Como atribuir -TargetDatabase dinamicamente Renomeando impressoras implementadas