Praktyczna analiza powłamaniowa
W dzisiejszych czasach
bezpieczeństwo aplikacji webowych jest jednym z najważniejszych elementów bezpieczeństwa Internetu, w tym serwerów udostępniających usługi w sieci. Włamania na serwery HTTP niosą jednak za sobą o wiele większe ryzyko niż podmiana zawartości strony. Cyberprzestępcy mogą uzyskać dostęp nie tylko do poświadczeń logowania użytkowników danej witryny ale również plików serwera co niesie za sobą o wiele szersze konsekwencje.
Książka o tematyce DFIR (Digital Forensics and Incident Response) z jednej strony pokazuje tradycyjne podejście informatyki śledczej, a drugiej reagowania na incydenty (Live Forensics). Tematem przewodnim jest
analiza powłamaniowa aplikacji webowej w środowisku Linux. Szczegółowo ukazuje techniczne podejście w tym analizę logów serwera Apache2 i systemu plików Linux Debian oraz zwraca uwagę na możliwości anti-forensics. Z książki czytelnicy dowiedzą się jak przeanalizować incydent związany z włamaniem na stronę w tym jakie operacje przeprowadzał atakujący dzięki analizie osi czasu czy pamięci procesu backdoora. Poruszone zostały też tematy pokrewne takie jak pisanie jednolinijkowych skryptów w powłoce bash czy wykorzystywanie narzędzi anti-forensics do analizy.
Pozycja ta polecana jest osobom związanym z bezpieczeństwem informatycznym. Zawiera informacje przydatne szczególnie w pracy na stanowiskach technicznych wliczając w to informatyków śledczych, specjalistów bezpieczeństwa w SOC oraz CERT jak również biegłych sądowych z zakresu informatyki. Książka może być również z powodzeniem wykorzystywana do nauki przez studentów kierunków szczególnie związanych z informatyką śledczą czy samym bezpieczeństwem komputerowym.
- Kategorie:
- Język wydania: polski
- ISBN: 978-83-011-9605-9
- ISBN druku: 978-83-011-9347-8
- Liczba stron: 150
-
Sposób dostarczenia produktu elektronicznegoProdukty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po opłaceniu zamówienia kartą lub przelewem na stronie Twoje konto > Biblioteka.Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
-
Ważne informacje techniczneMinimalne wymagania sprzętowe:procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturachPamięć operacyjna: 512MBMonitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bitDysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejscaMysz lub inny manipulator + klawiaturaKarta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/sMinimalne wymagania oprogramowania:System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows MobilePrzeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScriptZalecany plugin Flash Player w wersji 10.0 lub wyżej.Informacja o formatach plików:
- PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
- EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
- MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
- Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
Rodzaje zabezpieczeń plików:- Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem. Ten rodzaj zabezpieczenia jest zdecydowanie bardziej przyjazny dla użytkownika, ponieważ aby otworzyć książkę zabezpieczoną Watermarkiem nie jest potrzebne konto Adobe ID oraz autoryzacja urządzenia.
- Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.
1. Wstęp 9 Strona internetowa, błędy oraz errata 12 O autorze 13 Podziękowania 15 2. Zabezpieczanie danych 17 3. Podstawowe informacje o systemie Linux 21 4. Przyspieszony kurs pisania one-linerów 27 5. Analiza włamania na aplikację webową 41 5.1. Informacje o konfiguracji Apache2 43 5.2. Zapytania HTTP 45 5.3. Format logów 50 5.4. Najczęściej występujące ataki 52 5.4.1. SQL Injection (SQLi) 53 5.4.2. Remote Code Execution (RCE) 56 5.4.3. Local File Inclusion (LFI) 59 5.4.4. Remote File Inclusion (RFI) 63 5.4.5. Cross-Site Scripting (XSS) 64 5.4.6. Cross-Site Request Forgery (CSRF) 67 5.4.7. Server-Side Request Forgery (SSRF) 68 5.4.8. Shellshock (CVE-2014-6271) 70 5.4.9. Denial-of-Service (DoS) 71 5.5. Odzyskiwanie skasowanych logów 73 5.6. Łączenie wielu plików logów 76 5.7. Selekcja względem czasu 77 5.8. Wstępne rozpoznanie za pomocą automatycznych narzędzi 78 5.8.1. Wykorzystanie apache-scalp z regułami PHP-IDS 79 5.9. Wizualizacja logów 81 5.10. Wykorzystanie osi czasu 82 5.11. Analiza z wykorzystaniem programów powłoki 85 5.11.1. Konfiguracja oprogramowania wtop (logrep) 91 5.11.2. Wykorzystanie programu logrep (wtop) 93 5.12. Wykrywanie anomalii w logach 95 5.13. Analiza z wykorzystaniem programu Splunk 108 5.14. Wykrywanie backdoorów 118 5.15. Studium przypadków 121 5.15.1. Włamanie przez CMS Joomla 122 5.15.2. Atak słownikowy na CMS Wordpress 133 5.15.3. Wykonanie kodu z wykorzystaniem podatności LFI 150 5.16. Pisanie własnych narzędzi do analizy logów 151 5.17. Podsumowanie 154 6. Powłamaniowa analiza systemu Linux 157 6.1. Wykonanie kopii dysku 159 6.1.1. Zdalne wykonywanie obrazu dysku 162 6.2. Praca z obrazem dysku 163 6.2.1. Różnice w systemie plików 165 6.2.2. Weryfikacja pakietów 166 6.2.3. Baza hashy 171 6.2.4. Oś czasu 173 6.2.5. Weryfikacja na podstawie inode 180 6.2.6. Jądro systemu (kernel) 183 6.2.7. Moduły kernela 185 6.2.8. Narzędzia do wyszukiwania złośliwego oprogramowania 185 6.2.9. Analiza initrd (RAM dysk) 188 6.2.10. Logi 188 6.2.11. Konta użytkowników 193 6.2.12. Bity SUID i SGID 195 6.2.13. „Ukryte” pliki i katalogi 198 6.2.14. Odzyskiwanie usuniętych plików 200 6.2.15. Słowa kluczowe 201 6.2.16. Analiza pliku known_hosts 202 6.3. Praca na działającym systemie (Live Forensics) 208 6.3.1. Sudoers 208 6.3.2. Wirtualny system plików /proc 209 6.3.3. Zmienne środowiskowe 211 6.3.4. Biblioteki 212 6.3.5. Pakiety 217 6.3.6. Wykrywanie rootkitów 220 6.3.7. Weryfikacja konfiguracji 221 6.3.8. Otwarte pliki 222 6.3.9. Otwarte porty 224 6.3.10. „Ukryte” procesy 225 6.3.11. Sysdig 230 6.3.12. Podstawowa analiza działania programów 233 6.3.13. Zewnętrzne źródła 235 6.4. Analiza pamięci RAM 236 6.4.1. Wykonanie zrzutu pamięci 236 6.4.2. Tworzenie profilu pamięci 238 6.4.3. Analiza pamięci 241 6.5. Wykorzystywanie narzędzi anti-forensics do analizy 250 6.6. Podsumowanie 253 7. Analiza behawioralna złośliwego oprogramowania 257 7.1. Reguły Yara 269 8. Podsumowanie 275