Sistem yöneticisine bu yorumu gönderdiğiniz için teşekkürler.
Lütfen bu kısa formu doldurun ve bildirinizi iletmek için Gönder düğmesine basın.
Yorum için sorular
25-02-2010 00:12
*NIX tabanlı bir sistemde forensik bir inceleme söz konusu ise yazıda anlatılan metodlar uygulanmadan önce bu metodlarla elde edilebilecek bilgilerin doğru olup olmadığının teyidi şarttır.Aksi halde bu yazıda bahsedilen metodlar yanıltıcı bilgiler vererek ele geçirilmiş bir sistemde herşey yolundaymış havası yaratabilir.Çünkü eğer sistemin root yetkisi ele geçirilmiş ise çoğu durumda bir "rootkit" kurulmuştur ve yazıda kullanılan "netstat" "who" ,"tcpdump" hatta yazıda değinilmeyen "ps" vs gibi komutları ihtiva eden dosyaların yerlerine sadece saldırganın istediği-izin verdiği verileri görmenizi sağlayan dosyalar yerleştirilmiştir.Hatta bazı durumlarda kernele modül olarak eklenen rootkitlerle tüm sistem size bu dosyalar vs değiştirilmeksizin sadece saldırganın izin verdiği şeyleri gösterir durumda olabilir.Ayrıca 1980 lerden beri yapılan saldırılarda genel eğilim saldırganların sistemden her çıkış yapışlarında "utmp,wtmp,lastlog,bash_history" vs gibi kayıtları temizlemesi (silmesi değil kendi girişi ile ilgili bilgileri bu dosyalardan çıkarması) şeklindedir.Bu yazılan yazının forensik inceleme konusunda bir anlam ifade etmesi ya da en azından insanları eksik bilgilendirerek "kaş yapayım derken göz çıkarmaması" açısından bu tip bilgilerin toplanmaya başlanmasından önce sistemde rootkitlerin ya da herhangi bir türde log temizleyici yazılımların bulunmadığından emin olunması gerekliliği bilinmelidir.Bu kısa yorumda "teknik yazıya" yaptığım eklemeler ile bile "forensik inceleme" yapabilmek icin gereken bilgi birikiminin on milyonda biri bile aktarılmamıştır.Forensik inceleme hakkında "basit fikir verici" ya da "bir ucundan başlamak için" yazı yazılarak insanların yanlış yönlendirilmesini kaldırabilecek bir uzmanlık dalı değildir.Kalp ameliyatı yapmak için neşter kullanılır denilip "önce neşter sterilize edilmelidir" bilgisini insanlardan esirgemek her ne kadar iyi niyetle yapılsa bile kötü sonuçlar doğurabilir.Devletimizin bilgi güvenliği konusundaki birikimine ve hassasiyetine gölge düşürebilecek ve devletimizin bu konudaki imajını konuda bilgi sahibi kişiler gözünde olumsuz etkileyebilecek durumların oluşmaması açısından sitede yayınlanan teknik yazılar devletin resmi bilgi güvenliği portalında yayınlanmadan önce bir tür editörel süreçten geçmelidir.Saygılarımla Arz Ederim.
