هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

indicators of compromise مؤشرات الأختراق

مؤشرات الاختراق Indicators of Compromise والتي سوف اشير اليها في هذه التدوينة بـ IOC. هي عباره عن مؤشرات تدل على حدوث او وجود اختراق عن طريق وصف الاختراق بمجموعة من الصفات. هذه المؤشرات يتم الحصول عليها اثناء تحليل الأنظمة والتحقيق في عمليات الاختراق ويتم استخراجها الاجهزة التي تم استهدافها في الاختراق. يتم الاعتماد على هذه المعلومات لتوسيع نطاق البحث والتحليل الى العشرات من الاجهزه الاخرى الموجودة في الشبكه، خدمات Threat intelligence المقدمة من الشركات تعتمد بشكل كلي على هذه المؤشرات بحيث يتم مشاركتها بين مختصي امن المعلومات والشركات لتفادي الهجمات و الفيروسات التي تحمل الصفات المعينة المتعرف عليها سابقا او من خلال مقارنة هذه المؤشرات مع ما تم تخزينه سابقا من احداث الشبكة.

اقرأ المزيد

ادوات واجهزة يجب ان يحصل عليها كل محقق جنائي رقمي

سوف اكتب عن بعض الأدوات والأجهزة التي يجب على كل محقق جنائي رقمي ان يحصل عليها.

Forensics Toolkit :

 يجب على المحقق ان الجنائي ان يكون لديه مجموعتة الخاصة من الادوات, هذه الادوات يجمعها المحقق على حسب القضايا التي عمل عليها حتى تكبر وتصبح مجموعه ثمينة من الادوات. هناك بعض الادوات الاساسية والمشهورة والتي اي محقق جنائي سوف يستخدمها وايضا هناك ادوات غير مشهوره وسوف تواجهك حالات تبحث عن ادوات لغرض معين لذلك قم بجمع الادوات في مكان واحد بشكل منضم لترجع اليهم لاحقا. اثناء اختيار اداة يجب المراعاه بانها اداة تقوم بإنتاج نتائج صحيحه قم باختبارها ايضا قم بقراءة المراجعات او اي شي يفيد لمعرفة جودة الاداة, انصحك بالاطلاع على التدوينة التاليه مشروع CFTT لاختبار جودة أدوات التحقيق الجنائي الرقمي.

بعض الأدوات الشهيرة :

  • SIFT هي توزيعة من SANS تحتوي على كل ما يحتاج المحقق الجنائي في مكان واحد يمكنك الاطلاع على المشروع على موقع SANS من هنا
  • X-Ways Forensics  بيئة خاصة بنظام وندوز للتحقيق الجنائي الرقمي

  • Sleuth Kit  مجموعة من الادوات متخصصة في تحليل نظام الملفات والقرص يوجد كتاب رائع جدا لكيفية استخدام هذه الادوات اسمه File System Forensic Analysis
  • FTK and EnCase هم ادوات غير مجانية متخصصة في التحقيق الجنائي الرقمي وتقوم انصحك بشدة الاطلاع عليهم ومعرفة مميزات كل اداة  والفروق بينهم.
  • ادوات وبرامج متفرقة يجمعها المحقق الجنائي اثناء مسيرته المهنية

Write Blockers :

هي عبارة عن اجهزة تستخدم اثناء اخذ صورة من  البيانات في الاقراص التي تم جمعها للتحليل هذه الأجهزة تضمن سلامة البيانات وعدم أتلاف الدليل انصحك وبشدة ان تطلع على كل انواع الـ Write blockers يمكنك زيارة موقع شركة tableau .

Forensics drive duplicators  :

هذه عبارة عن اجهزة تقوم بنسخ الاقراص من قرص الى قرص اخر مع ميزه فحص سلامه البيانات والتاكد من ان كل البيانات تم نسخها بسلامه , في الحقيقه هناك الكثير من الاجهزه لكل انواع الاقراص الصلبة يمكنك البحث عنهم وتختلف اسعارهم واحجامهم حسب الوظيفة وعدد الاقراص التي يدعمها الجهاز . اجهزة نسخ البيانات اسرع بكثير من عملية النسخ الاعتيادية وكذلك المقدره على نسخ اكثر من هارد ديسك في نفس الوقت. بعض الاجهزه توفر ميزه المسح الامن باستخدام معايير تم قبولها من قبل وزارة الدفاع الامريكيه والقضاء الامريكي , يتم استخدام ميزة المسح لمسح القرص والتاكد من خلوه من اي بيانات قبل نسخ الهارد ديسك الدليل للقرص الخاص بالمحقق.

cables and adapters:

يجب ان يكون هناك مجموعة من cables والتي تعمل على مجموعات مختلفه من الاقراص الصلبه والاجهزة وكذلك  Sim Card Readers و SD card readers وغيرها.

 camera for documentation:

اثناء التحقيق الجنائي وجمع الادلة يجب ان يتم تصوير كل جهاز قبل مساسة وتصوير مسرح الجريمه والالتزام بالبروتوكولات المستخدمه في التحقيق الجنائي لذلك وجود كاميرا مهم جدا لتوثيق كل شي.

computer tool kit:

التعامل مع الهارديسك واخراجه من الجهاز الدليل خاصة اجهزه اللابتوب يتطلب ادوات وخبره لا بأس بها لفتح الاجهزه. تحدي يواجه المحقق الجنائي وهو تعلم طريقة فتح كل موديلات اجهزه اللابتوب حيث انها تختلف من شركه الى اخرى مع تفاوت الصعوبه. لذلك يجب ان يملك المحقق الادوات المناسبة لفتح الجهاز.

Pre-prepared Documentation forms and a notebook:

في تدوينة سابقة “قبل البدء في التحقيق الجنائي الرقمي” ذكرت اهمية التوثيق وبعض الامور التي يجب تسجيلها والانتباه لها عند التحقيق كذلك يوجد هناك بعض checklists التي يجب ان تفحصها اثناء التحقيق هذه كلها يتم تسجيلها في الدفتر الخاص بك او الايباد الذي تسجل فيه كل شي . ايضا يجب ان تكون مستعد بالـ forms التي تخص الـ chain of custody او اي نوع اخر من الـ Forms على حسب الدولة او البروتوكول المستخدم .

انصحك أيضا ان تحصل على نسختك الخاصة من كتاب : (Blue Team Field Manual (RTFM 

كتاب: Incident Response & Computer Forensics

كتاب Incident Response & Computer Forensics اضفته الى قائمة الكتب المفضلة وهو كتاب رائع يحتوي على خلاصة خبرة طويلة في مجال الاستجابة والتحقيق في حوادث الاختراق. يوجد نسخه سابقة من الكتاب نشرت تقريبا قبل عشر سنوات من تاريخ نشر النسخه الثالثة. الكتاب بشكل عام كتاب رائع يحتوي على معلومات قوية عملية ونظرية, والجميل ان المفاهيم النظرية والتي تتناول مفهوم الاستجابة للحوادث كمفهوم عام تم وضعها بطريقه تُشعرك اهميه الاستجابه للحوادث كصوره عامه وليس تقنيه بحته . ليس من الضروره ان  يملك القارئ خبرة سابقة في incident response لقراءة الكتاب. المفاهيم بدأت من الصفر ابتداء من المقدمة التعريفية عن المجال حتى المعالجة من دمار الحادثة حيث وضع المؤلفين بداية جيده جدا في الجزء الاول من الكتاب عن المجال ولماذا يجب على كل شركة ان يكون لها فريق استجابة وايضا تم وضع بعض الـ case study والتي كانت حوادث اختراق حقيقة واجهت المؤلفين سابقا.

اقرأ المزيد