İşletim sistemine, tetiklendiği zaman tüm verilerinizi silecek tuzaklar yerleştirilmiş olabilir. Bu tuzaklar bazen sadece sisteme şifrenizi girdiğinizde veya bilgisayarınızı açıp kapadığınızda tetiklenebilir. Sistemdeki veriler, değiştirilmiş olabilir, bu nedenle güvenilir değildir. Hiçbir şey göründüğü gibi değildir. Bu nedenle, mantık sistemi, güvenilir bir sistem ile tamamen değiştirilmelidir. Ayrıca, disk sürücüleri, adli soruşturma için gerekli olacaktır; dolayısıyla bunları tekrar kullanamazsınız. içinde uygun yazılım bulunan yedek diskler bulundurmanız, hizmetin seri bir şekilde tekrar sağlanmasını temin edecektir. İzinsiz Erişimin Tespiti Host merkezli müdahalenin tespit edilmesi, birçok açıdan önemlidir. Öncelikle, Windows bulunan bilgisayarlarda sistem olayları, UNiX değişkenlerinde, SYSLOG olarak izlenebilir. Bu, kritik sistem olaylarının güvenilir bir uzak sunucuya kopyalanmasına müsaade eder; bu olaylar, suçlu tarafından hedef makinede tipik olarak silinir veya değiştirilirler. ikinci olarak host merkezli bir müdahale tespiti, çatı kitlerinin, arka kapıların ve Windows kaydında yetkisiz değişikliklerin kurulumuna karşı, çekirdeği izler; bunlardan herhangi biri, saldırıya uğrayan makine için acil bir alarm halidir. min, saldırıya uğradığını düşünmekte iseniz, atmanız gereken ilk adım, herhangi bir tahribata yol açmadan önce, sistemi tecrit etmenizdir. Sisteme kullanıcı adınızla girerek, normal bir kapatma uygulaması yapmanız muhtemelen tehlikelidir; kapatma prosedürüne kurulmuş olabilecek bir tuzak, sistemin kendi kendini yok etmesine yol açabilir. Benzer şekilde, sistemi kapatıp açmak da tehlikelidir; benzer şekilde bir tuzak yerleştirilmiş olabilir. Sisteme giriş yapmak dahi tehlikeli olabilir, zira, güvenilir programlar yerine kötü niyetli trojanlar yerleştirilmiş olabilir. Saldırıya uğramış bir sistem, göründüğünden çok farklıdır; becerikli bir sald!rgan, kötü niyetli programlarını saklayarak, her şey normalmiş görüntüsü verebilir. As1 ında, gerçekte, makine bir canavara dönüşmüştür ve saldırı esnasında yerleştirilmiş kötü niyetli programlar ile kontrol edilmektedir. Saldırıya uğramış bir makineye, asla güvenmeyin! Yapılacak en iyi şey, en kısa sürede makinenin elektriğini kesmek olacaktır. Bu basit adım, makineyi, daha fazla hasara yol açmasına izin vermeden şebekeden çıkaracak, aynı zamanda da disklerin durumunu muhafaza edecektir. Tabii ki, kaydedilmiş bilgilerin tümü kaybolacaktır ancak, saldırıya uğramış bir makinede bunları incelemek için zaten yapabileceğiniz pek bir şey olmayacaktır. gereklidir. Diskleri sökme aşamasında, saldırıya uğramış makinenin ve demonte edilme sürecini fotoğraflamanız da tavsiye edilmektedir. Saldırıya uğramış makineden çıkan diskler değerlidir ve özel işlem gerektirir. Bu cihazları sisteme yeniden yüklememeniz veya üzerlerine kayıt yapmamanız gereklidir; aksi takdirde delillere zarar verebilirsiniz. önemli bir kural da, saldırıya uğrayan cihaz ile mümkün olduğunca az çalışma yapmanızdır. Saldırıya uğramış sürücünün bir bit görüntü kopyasını, ikinci bir cihaza alarak (bunun için tasarlanmış özel cihazlar mevcuttur), bu kopya üzerinde çalışabilirsiniz. Bir kopya çıkarmak için normal bir işletim sistemi kullanmanız, kesin bir sonuç vermeyebilir. Zira, gizli alanlar ve silinen dosya alanları kopyalanmayacaktır. Bir adli tespit uygulaması da temin edebilirsiniz. Bu uygulamalar, saldırıya uğramış cihaz üzerinde, MD5 tutar kontrol hesapları yapmanıza müsaade eder. Bu da, tarihin değiştirilmediğine dair delil teşkil edecektir. Ayrıca, cihaza salt okunur bir şekilde erişim sağlayarak, sadece aktif dosyalarda değil, silinmiş dosyalar ve önemli verilerin saklanabileceği boş yerlerde de arama işlemleri gerçekleştirebilirHost merkezli müdahale tespiti ayrıca, siniz. 140 kritik sistemin yürütülebilir dosyalarının Yedek bir makineniz varsa bunu, yedek veya veri dosyalarının ve bunların özelliklerinin bütünlüğünü de takip edebilir. Yine, bu dosyalarda gerçekleşen yetkisiz değişiklikler, kötü niyetli faaliyet göstergeleridir. Host merkezli müdahale tespitini bir erken uyarı sistemi olarak kabul ediniz. Ya sistem saldırıya uğramadan önce ya da uğradıktan çok kısa bir süre sonra ve kesinlikle, sistem ciddi bir tahribata yol açmadan önce haberdar edileceksiniz. Tecrit Uygulaması Bir müdahale tespit alarmı sonucu ya da şüpheli faaliyetlerden dolayı, bir sisteYANGIN ve GÜVENLİK SAYI 91 disklerinizle hizmete alabilir ve bu şekilde sistem restorasyon sürecini başlatabilirsiniz. Bu noktada, rehberlik ve yardım sağlaması için, bilgisayarlara yönelik adli uzmanlara danışabilirsiniz. Saldırıya uğrayan makinede hassas mali bilgiler mevcutsa, kanuni makamları da haberdar edebilirsiniz. Soruşturmayı kendiniz yürütmek isterseniz, atacağınız he"r adımı, son derece dikkatli olarak belgelemeniz kritik önem taşımaktadır. Zira, saldırıya uğramış olan makinedeki malzemeleri, delil olarak kullanabilirsiniz. Saldırıya uğrayan makinenin sabit sürücüsünü çrkarr,:ıanız Sonuç Vakalara müdahale, başlı başına bir alandır ve bu makale sadece ne şekilde hazırlık yapılabileceği ve bir plan kapsamında nelerin dikkate alınabileceğine dair bir fikir verme amacı taşımaktadır. önceden plan yapmanız ve böyle bir olayın başınıza gelmesi durumunda, bununla yalnız başınıza mı mücadele edeceğinize veya uzmanları ne zaman devreye sokacağınıza dair muhakeme kullanabilmeniz önemlidir. Bir suç işleme potansiyeli dahi mevcut olsa ilgili adli makamlara derhal müracaat edilmesi gerektiğini unutmayınız.
RkJQdWJsaXNoZXIy MTcyMTY=