Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 5 : Exemple de scénario appliqué
Paru le 11 janvier 2007
Ce scénario illustre un accès non autorisé à des informations confidentielles internes de la Woodgrove Bank, une importante institution financière. Le scénario est fictif, tout comme les personnes et les organisations qui y sont mentionnées.
Le scénario a été conçu pour offrir une vue d'ensemble des outils et des technologies utilisés pour la collecte et l'analyse des données. Dans une vraie situation de violation de sécurité, vous devez consulter la direction, les conseillers juridiques et les forces de l'ordre afin d'obtenir des conseils sur les techniques d'enquête adéquates à utiliser. Bien que les auteurs reconnaissent que la capture d'image d'un lecteur suspect est importante pour le travail d'enquête, cette tâche dépasse le cadre de ce guide et n'est que brièvement abordée pendant la phase d'acquisition de données du scénario.
Sur cette page
Scénario
Évaluation de la situation
Acquisition des preuves d'accès à des données confidentielles
Collecte de preuves à distance
Recueillir des preuves localement
Analyse des preuves recueillies
Rapport des preuves
Configuration du laboratoire de scénario appliqué
Scénario
Ray Chow, Administrateur système d'entreprise chez la Woodgrove National Bank, apprend qu'une personne se vante de connaître les salaires de nombreux employés de la banque. Ray connaît le nom de l'employé qui prétend détenir ces informations : Mike Danseglio. Mike travaille au sein du service Prêts et ne devrait pas avoir accès aux fichiers des Ressources humaines (RH).
La Woodgrove National Bank dispose d'une réglementation relative à la bonne utilisation des ordinateurs de la banque. D'après cette réglementation, l'utilisation des ordinateurs de la société à quelque fin que ce soit, notamment les services de messagerie électronique et l'accès aux sites Web, n'offre aucune garantie de confidentialité. Cette réglementation stipule également qu'aucun programme ne peut être installé sur les ordinateurs sans autorisation écrite du directeur informatique et que toute tentative visant à contourner les mots de passe ou à obtenir un accès non autorisé aux fichiers de la banque fera l'objet d'un licenciement ou de poursuites judiciaires. Par ailleurs, la réglementation autorise le personnel informatique à installer des périphériques de surveillance du réseau (dispositif de reniflage ou de capture de paquets) afin d'assurer la sécurité du réseau et d'enquêter sur les abus potentiels.
Ray veut s'assurer d'utiliser des procédures d'enquête informatique admises afin d'enquêter sur le problème et de faire état de ses conclusions. Ray pense que Mike a obtenu les informations depuis le serveur de fichier des RH et prévoit d'appliquer le modèle d'enquête informatique décrit dans la figure suivante :
.gif)
Figure 5.1. Vue d'ensemble du modèle d'enquête informatique
Important
Consultez la section Configuration du laboratoire de scénario appliqué à la fin de ce chapitre pour obtenir des informations sur la manière de reproduire ce scénario et d'utiliser ses outils.
Évaluation de la situation
Ray participe à une réunion avec la direction pour évaluer la situation. La direction confirme que l'accès non autorisé et la divulgation d'informations confidentielles sur les paies sont passibles de licenciement. Cependant, elle ne souhaite pas engager de poursuites judiciaires à l'encontre de l'employé en raison de ses actions.
Conformément à la réglementation de la Woodgrove National Bank, la direction doit consulter le service juridique interne pour vérifier la législation locale et déterminer s'il existe d'autres réglementations relatives aux enquêtes sur l'accès inapproprié des employés aux systèmes informatiques non autorisés.
Le service juridique de la Woodgrove National Bank donne à Ray la permission écrite d'examiner le contenu de l'ordinateur professionnel de Mike Danseglio. Les équipes du service juridique et de la direction demandent à être informées du résultat de l'enquête. Elles demandent également à Ray de prendre les mesures nécessaires pour protéger à l'avenir les données confidentielles de manière plus efficace, s'il découvre qu'il y a bien eu violation.
La première tâche de Ray consiste à identifier les ordinateurs qui sont impliqués dans l'enquête et à documenter la configuration matérielle de chacun. Après avoir accompli cette tâche, Ray dessine un diagramme logique des ordinateurs impliqués, comme le montre la figure suivante.
.gif)
Figure 5.2. Diagramme logique des ordinateurs impliqués dans l'enquête
Ray évalue ensuite différentes options pour la suite de l'enquête. En raison de la nature volatile de certaines données qu'il doit recueillir, Ray décide de commencer l'enquête informatique interne par l'analyse des données en temps réel. Il créera ensuite une image du disque de Mike Danseglio et examinera les preuves statiques.
Ray crée un lecteur USB intégrant les outils d'enquête adaptés à une enquête en temps réel. La section Outils de l'annexe Ressources de ce guide décrit les outils abordés dans ce chapitre.
La seconde tâche de Ray consiste à dupliquer le disque dur du suspect de manière à protéger et à préserver les preuves si jamais il trouvait des informations qui l'obligent à signaler les faits aux forces de l'ordre.
Ray Remarque : les éléments qui présentent un intérêt potentiel, documente ceux qui sont nécessaires pour pouvoir identifier et authentifier les preuves plus tard au cours de l'enquête et crée un journal d'audit des actions effectuées pendant cette enquête.
Acquisition des preuves d'accès à des données confidentielles
La direction de la Woodgrove National Bank autorise Ray à examiner la structure des répertoires sur le serveur de fichiers des RH (WNB-HQ-FS1) ainsi que les fichiers de la paie afin de déterminer si un individu non autorisé a consulté ces fichiers. Ray pourrait immédiatement se rendre à l'ordinateur de Mike Danseglio et y chercher des preuves ou commencer par le serveur et essayer de trouver des preuves dans les journaux d'audit. Ray souhaite connaître les droits d'utilisateur que possède Mike Danseglio pour l'accès aux dossiers des RH.
Ray décide d'utiliser l'approche en deux étapes décrite ci-dessous pour acquérir les preuves nécessaires :
Examiner le serveur de fichiers des RH pour rechercher des preuves d'accès non autorisé aux fichiers et aux dossiers confidentiels. Cet examen peut confirmer ou infirmer les soupçons de la direction quant à l'accès non autorisé de Mike Danseglio à ces fichiers.
Examiner localement et à distance le contenu du disque dur de Mike Danseglio pour y rechercher des données confidentielles. Ray envisage d'utiliser une combinaison d'outils natifs de Microsoft® Windows® (dont Ipconfig, Systeminfo et Netstat) et de Windows Sysinternals (dont AccessChk, PsLoggedOn et PsFile).
Ray s'entretient avec les membres de l'équipe des RH et examine le serveur de fichiers. Il remarque que les fichiers de la paie sont résumés une fois par mois dans des feuilles de calcul conservées dans le dossier HR\Internal\Payroll. Le groupe RH MGRS est le seul à disposer d'autorisations de lecture ou d'écriture pour l'accès à ce dossier et Mike Danseglio n'est pas membre de ce groupe. Ray doit déterminer s'il est possible que quelqu'un puisse accéder au dossier des RH contenant les informations salariales des employés de la banque.
Ray affiche les journaux d'événements du serveur de fichiers des RH. Il a auparavant configuré l'audit du dossier HR\Internal afin de pouvoir effectuer un suivi des accès ayant échoué ou réussi. Ray Remarque : toutes les étapes qu'il entreprend pour ouvrir et afficher le journal des événements de sécurité.
Plusieurs entrées de ce journal d'événements lui sautent aux yeux, parmi lesquelles celle figurant dans la capture d'écran suivante. Quelques entrées indiquent que le compte d'utilisateur mdanseglio a accédé au fichier HR\Internal\Payroll\090806PR-A139.xls.
.gif)
Figure 5.3. Des entrées du journal des événements de sécurité indiquent que le compte d'utilisateur mdanseglio a accédé au fichier 090806PR-A139.xls du dossier HR\Internal\Payroll.
Ray crée tout d'abord des dossiers \evidence et \tools sur son lecteur USB. Pour assurer l'intégrité des fichiers de preuves qu'il crée, Ray créera un hachage cryptographique MD-5 pour chaque fichier qu'il copie de l'ordinateur de Mike vers le dossier des preuves (\evidence).
Les hachages cryptographiques MD-5 sont créés en exécutant un algorithme sur un fichier afin d'obtenir une empreinte 128 bits unique du contenu du fichier. Si une personne conteste l'intégrité des données recueillies par Ray (pour insinuer, par exemple, que le fichier peut avoir été modifié à une date ultérieure), Ray peut fournir la valeur du calcul de somme MD-5 originale pour comparaison et validation.
Ray exporte l'ensemble des journaux vers un lecteur USB qui porte le nom HR01. Il utilisera ce même lecteur USB pour recueillir toutes ses preuves.
Notes
La connexion d'un lecteur USB à un ordinateur Windows ajoute une entrée au fichier Setupapi.log et modifie la clé du registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Storage\RemovableMedia
Ray décide de déterminer les autorisations attribuées au dossier HR\Internal en exécutant l'outil Windows Sysinternals AccessChk sur le serveur. Cet outil indique les autorisations dont chaque utilisateur ou groupe spécifié dispose pour les fichiers, les clés du registre et les services Windows. Ray exécute l'outil depuis son lecteur USB, qui apparaît en tant que lecteur F:, et tape à l'invite de commande la commande suivante :
f:\tools>accesschk mdanseglio c:\hr\internal
Notes
L'outil Sysinternals AccessChk nécessite un processus d'installation et laissera une empreinte sur le disque dur local dans la clé de registre suivante : HKEY_CURRENT_USER\Software\Sysinternals\AccessChk
Ray remarque que le compte d'utilisateur mdanseglio dispose des autorisations de lecture et d'écriture sur les sous-dossiers \Benefits, \Payroll et \Reviews sous \HR\Internal, comme l'indique la capture d'écran suivante :
.gif)
Figure 5.4. D'après les résultats d'AccessChk, le compte d'utilisateur mdanseglio dispose des autorisations de lecture et d'écriture sur les sous-dossiers HR\Internal.
Ray soupçonne que des erreurs de configuration des autorisations sur le serveur des RH ont permis à Mike Danseglio d'accéder au dossier HR\Internal. Ray passe quelques minutes à examiner les droits d'utilisateur de Mike Danseglio et remarque qu'il est membre d'un groupe nommé branch01mgrs. Ce groupe dispose des autorisations de lecture et d'écriture sur les dossiers HR\Internal.
Ray souhaite savoir si Mike Danseglio est actuellement connecté à l'un des serveurs du réseau. Ray utilise PsLoggedOn, un outil qui affiche les utilisateurs connectés en local ainsi que les utilisateurs connectés via des ressources à l'ordinateur local ou à un ordinateur distant. Ray insère sa clé USB dans son ordinateur et tape à l'invite de commande la commande suivante :
f:\tools>psloggedon mdanseglio
Les résultats, qui figurent dans la capture d'écran suivante, indiquent que Mike Danseglio a actuellement une session ouverte sur WNB-HQ-FS1.
.gif)
Figure 5.5. Les résultats de Psloggedon indiquent que le compte d'utilisateur mdanseglio a ouvert une session sur WNB-HQ-FS1.
Ray supprime Mike Danseglio du groupe branch01mgrs et revérifie ses droits d'utilisateur sur le dossier HR\Internal.
Après avoir à nouveau examiné les journaux d'événements de sécurité et les résultats d'AccessChk pour rechercher d'éventuelles autres configurations d'autorisations incorrectes pour le dossier HR\Internal, Ray commence à analyser le contenu de l'ordinateur de Mike Danseglio à l'aide de techniques d'enquête à distance.
Collecte de preuves à distance
Ray décide de rassembler des informations de l'ordinateur de Mike Danseglio à distance avant de le faire en local. Puis, il se rend au bureau un week-end pour effectuer une copie du disque dur de Mike, en conformité avec les exigences de l'expertise judiciaire en informatique. Dans une situation réelle, Ray pourrait effectuer l'intégralité de son enquête sur une image du disque dur de l'ordinateur du suspect. Toutefois, ce scénario décrit l'utilisation d'outils et de techniques permettant de recueillir des preuves volatiles localement et à distance.
Ray utilise un lecteur USB connecté à son propre ordinateur et contenant de nombreux outils. Le lecteur USB enregistrera toutes les preuves recueillies ainsi qu'un fichier texte de toutes les commandes qu'il tape.
Ray utilise la procédure de base décrite plus bas : elle lui permet de Remarque :r l'heure à laquelle débute son analyse, de rassembler les preuves de l'ordinateur de Mike Danseglio sur le réseau, d'enregistrer toutes les étapes de son enquête et de créer un hachage MD5 des preuves qu'il rassemble.
Important
Certains outils Sysinternals, dont PsExec, PsFile et PsLogList, sont bloqués par la configuration par défaut du pare-feu Windows. Pour suivre cet exemple appliqué et utiliser ces outils afin d'examiner les informations qui peuvent être rassemblées sur le réseau, vous devez cliquer sur l'onglet Exceptions du pare-feu Windows et activer File and Printer Sharing (Partage de fichiers et d'imprimantes). Vous n'avez toutefois PAS à partager quoi que ce soit.
Avec les ordinateurs cibles sur lesquels le pare-feu Windows est activé et le partage de fichiers et d'imprimantes est désactivé (configuration par défaut), les outils Systeminfo, Ipconfig, Arp, Netstat, Schtasks, PsFile, PsList et PsLogList doivent être exécutés directement sur l'ordinateur cible. Dans un tel cas, exécutez chacun de ces outils directement sur le système cible et redirigez les résultats vers le fichier evidence2.txt créé dans la section « Collecte des preuves en local » plus loin dans ce chapitre.
Accéder au lecteur USB.
Ray accède au lecteur USB et au dossier \tools qui contient les outils de ligne de commande, dont PsExec et l'outil File Checksum Integrity Validator (FCIV).
j: cd toolsRemarque :r la date et l'heure de l'analyse.
Ray redirige le résultat des commandes de date et d'heure afin d'enregistrer l'heure de début de son enquête dans un nouveau fichier mdevidence.txt créé dans le dossier \evidence de son lecteur USB. (Ray obtiendra l'heure système de l'ordinateur de Mike Danseglio à l'étape 3). De plus, Ray recherche toute incohérence éventuelle entre la date et l'heure du BIOS et la date et l'heure réelles.
date /t > j:\evidence\mdevidence.txt time /t >> j:\evidence\mdevidence.txtObtenir des informations générales sur l'ordinateur cible.
Ray exécute une série de commandes Windows afin d'obtenir des informations sur l'ordinateur de Mike.
j: cd tools psexec \\hqloan164 systeminfo >> j:\evidence\mdevidence.txt psexec \\hqloan164 ipconfig /all >> j:\evidence\mdevidence.txt psexec \\hqloan164 arp -a >> j:\evidence\mdevidence.txt psexec \\hqloan164 netstat -b >> j:\evidence\mdevidence.txt psexec \\hqloan164 schtasks >> j:\evidence\mdevidence.txt
Notes
PsExec rassemble des informations à distance en utilisant des services déjà installés sur l'ordinateur cible, tels que Cmd et Ipconfig. PsExec peut également s'utiliser pour charger des services sur le réseau en vue de leur exécution sur l'ordinateur cible. Ray ne souhaite pas installer d'applications sur l'ordinateur de Mike, il exécute seulement des services pris en charge par le système d'exploitation Windows XP sur l'ordinateur de Mike.
Exécuter des outils distants utilisant les interfaces de programmation d'application (API) locales.
Ray exécute maintenant plusieurs outils pour déterminer si d'autres ordinateurs disposent de fichiers ouverts sur l'ordinateur de Mike, définir les processus en cours d'exécution sur cet ordinateur et obtenir les journaux d'événements système et de sécurité dudit ordinateur.
psfile \\hqloan164 >> j:\evidence\mdevidence.txt pslist -t \\hqloan164 >> j:\evidence\mdevidence.txt psloglist -s \\hqloan164 >> j:\evidence\mdevidence.txt psloglist -s sec \\hqloan164 >> j:\evidence\mdevidence.txtPsFile indique les fichiers ouverts à distance. Cet outil utilise des API Windows distantes et ne nécessite pas d'être chargé sur l'ordinateur cible.
PsList affiche des informations sur les processus et les threads en cours d'exécution sur un ordinateur. Cet outil utilise des API Windows distantes et ne nécessite pas d'être chargé sur l'ordinateur cible.
PsLogList vide le contenu du journal d'événements de l'ordinateur par défaut, aucun paramètre supplémentaire n'est nécessaire. Ray exécute cette commande avec le paramètre sec afin d'obtenir le journal des événements de sécurité.
Créer un enregistrement de toutes les tâches.
Windows effectue automatiquement le suivi de toutes les commandes qui sont exécutées à l'invite de commande. Ray utilise la commande Doskey pour capturer cet enregistrement et redirige les informations d'historique dans un fichier nommé mdevidence-doskey.txt.
doskey /h > j:\evidence\mdevidence-doskey.txtExécuter une somme de contrôle MD5 sur les fichiers de preuves.
Ray utilise l'outil FCIV pour exécuter une somme de contrôle MD5 sur les fichiers de preuves.
fciv j:\evidence\mdevidence.txt >> j:\evidence\md5mdevidence.txt
Notes
En raison des restrictions d'affichage, la commande précédente peut s'afficher sur plusieurs lignes. Elle doit être saisie sur une seule ligne à l'invite de commande.
L'outil FCIV calcule et vérifie les valeurs de hachage cryptographique. Cet outil est disponible dans l'article 841290 de la Base de connaissances Microsoft.
Ray souhaite examiner à distance les dossiers de l'ordinateur de Mike Danseglio. Pour cela, il utilise PsExec pour ouvrir une invite de commandes sur l'ordinateur de Mike. A l'invite de commandes, Ray entre les commandes suivantes :
psexec \\hqloan164 cmd
cd c:\documents and settings\mdanseglio\my documents
dir /s
Bien qu'il soit demandé aux utilisateurs de conserver leurs documents sur le serveur réseau, Ray remarque que Mike Danseglio possède un dossier personnel sur son ordinateur. Ce dossier contient une feuille de calcul et un sous-dossier \xxxpixset.
Après avoir examiné à distance les dossiers de l'ordinateur de Mike, Ray est prêt à faire part de ses conclusions et à analyser l'ordinateur de Mike en local.
Jill Shrader, la directrice du service des RH, appelle Ray sur son téléphone portable et lui demande où en est son enquête. Ray lui explique qu'il a rassemblé les informations suivantes :
Le compte d'utilisateur de Mike Danseglio dispose des autorisations de lecture et d'écriture sur le dossier HR\Internal car il a été ajouté par erreur au groupe branch01mgrs. Or, ce groupe dispose d'autorisations sur ce dossier et ses sous-dossiers.
L'ordinateur de Mike a un dossier personnel sur son disque dur qui contient au moins une feuille de calcul.
L'ordinateur de Mike contient deux programmes non autorisés lui permettant de surveiller le trafic réseau et d'analyser le réseau à la recherche de services et d'ordinateurs.
L'ordinateur de Mike a une vaste collection d'images sur son disque dur que Ray soupçonne d'être des images à caractère pornographique.
Recueillir des preuves localement
Idéalement, les enquêtes informatiques doivent être effectuées sur des images de disques durs. Dans cet exemple cependant, Ray exécute une série d'outils directement sur l'ordinateur de Mike Danseglio. Ces outils sont exécutés à partir d'un lecteur USB et ne nécessitent pas d'installation sur l'ordinateur local. Comme il est indiqué plus haut dans ce chapitre, l'insertion du lecteur USB laissera une empreinte dans le registre.
Important
Si le pare-feu Windows était activé et que le partage de fichiers et d'imprimantes était désactivé sur l'ordinateur de Mike Danseglio, Ray exécuterait les outils Systeminfo, Ipconfig, Arp, Netstat, Schtasks, PsFile, PsList et PsLogList localement sur l'ordinateur de Mike. Ray entrerait les commandes répertoriées plus haut dans ce chapitre à la section Collecte des preuves à distance mais supprimerait la référence à \\hqloan164 avant de rediriger les résultats vers le fichier evidence2.txt qu'il crée dans cette section.
Ray prévoit d'exécuter les tâches suivantes sur l'ordinateur de Mike :
Rechercher sur le lecteur les preuves de fichiers confidentiels.
Effectuer une copie de tout fichier suspect.
Examiner les fichiers.
Ray ouvre une session sur l'ordinateur de Mike à l'aide du compte d'administrateur pour accéder au dossier personnel de Mike. Après avoir connecté le lecteur USB de collecte des preuves à l'ordinateur de Mike, Ray utilise la procédure de base ci-dessous :
Accéder au dossier personnel de Mike Danseglio.
Ray accède au dossier personnel de Mike avec les commandes suivantes.
c: cd "documents and settings\mdanseglio\my documents\personal"Remarque :r la date et l'heure de l'analyse.
Ray redirige le résultat des commandes de date et d'heure afin d'enregistrer l'heure de début de son enquête. Il redirige le résultat dans un nouveau fichier mdevidence2.txt créé dans le dossier \evidence du lecteur USB.
date /t > f:\evidence\mdevidence2.txt time /t >> f:\evidence\mdevidence2.txt
Notes
Le lecteur USB est désigné par F: sur l'ordinateur de Mike.
Obtenir des informations sur la structure des répertoires.
Ray utilise la commande Dir pour examiner le contenu du dossier personnel de Mike. Ray redirige tout d'abord les résultats vers l'écran afin de les examiner et remarque un fichier de feuille de calcul et un dossier \xxxpixset. Ray redirige ensuite les résultats de la commande Dir vers le fichier de preuves à l'aide de trois paramètres différents : /tc pour indiquer l'heure de création, /ta pour indiquer l'heure du dernier accès et /tw pour indiquer l'heure de la dernière écriture.
dir /ta >> f:\evidence\mdevidence2.txt dir /tc >> f:\evidence\mdevidence2.txt dir /tw >> f:\evidence\mdevidence2.txtAccéder au lecteur USB.
Ray accède au lecteur USB et au dossier \tools qui contient ses outils de ligne de commande.
f: cd toolsRassembler des informations sur les fichiers de Mike Danseglio.
Ray utilise l'utilitaire Du pour examiner le contenu du dossier Mes Documents de Mike Danseglio et de tous ses sous-dossiers. Il utilise le paramètre –l 5 pour faire une recherche sur cinq dossiers. Ray examine d'abord les résultats à l'écran (indiqués sur la capture d'écran suivante) avant de rediriger les preuves vers le fichier mdevidence2.txt.
du –l 5 du –l 5 >> f:\evidence\mdevidence2.txt.gif)
Figure 5.6. Résultats de l'exécution de l'utilitaire Du
Copier les fichiers suspects vers le dossier \evidence_files.
Bien que Ray ait créé une image de l'intégralité du lecteur de Mike Danseglio, il décide de copier les fichiers du dossier personnel de Mike Danseglio vers un nouveau dossier nommé evidence_files qu'il crée sur le lecteur USB. Il examinera le dossier et les fichiers durant le processus d'analyse.
Notes
Ray a obtenu une copie du fichier d'origine durant le processus de création d'image. Il peut exécuter un hachage du fichier d'origine trouvé sur le lecteur en temps réel, s'il souhaite comparer ce fichier à la copie du fichier sur son lecteur USB.
Ray utilise la commande Xcopy avec le paramètre /s pour copier les sous-dossiers, le paramètre /e pour copier les sous-dossiers même s'ils sont vides, le paramètre /k pour conserver l'attribut de lecture seule sur les fichiers de destination si celui-ci est présent sur les fichiers sources et le paramètre /v pour vérifier chaque fichier lors de son écriture dans le fichier de destination et ce, afin de s'assurer que les fichiers de destination sont identiques aux fichiers sources.
```
f:
md evidence_files
c:
cd \documents and settings\mdanseglio\my documents\personal
xcopy *.* f:\evidence_files /s /e /k /v
```
Examiner le contenu de la corbeille.
Ray examine rapidement le contenu de la corbeille de Mike Danseglio, qui contient de nombreux fichiers supprimés, comme l'indique la figure suivante. S'il souhaite les examiner ultérieurement, Ray sait que le processus de création d'image du lecteur a permis d'obtenir une copie de ces fichiers. Après voir pris Remarque : du contenu de la corbeille, Ray est prêt à examiner les preuves qu'il a recueillies à distance et en local.
.gif)
Figure 5.7. Plusieurs fichiers d'images sont présents dans la Corbeille.
Analyse des preuves recueillies
Ray dispose de deux fichiers de preuves : mdevidence.txt et mdevidence2.txt. Il dispose également d'une copie du dossier personnel de Mike Danseglio. Ray utilise la procédure ci-dessous sur son propre ordinateur afin d'analyser les informations contenues dans ces fichiers.
Analyser les informations sur les processus.
Ray examine le fichier mdevidence.txt. Les résultats de PsList sont très intéressants car ils démontrent que Mike Danseglio exécute des applications non autorisées, telles que Wireshark et nMapWin, comme l'indique la capture d'écran suivante.
Ray sait qu'il est courant de découvrir des violations sans rapport lors d'une enquête sur un ordinateur suspect. Ray sait également que toutes les applications ne sont pas facilement reconnaissables (telles que celles répertoriées dans ce scénario) et qu'il est possible qu'elles aient été installées à l'insu de Mike.
.gif)
Figure 5.8. Résultat de l'exécution de Pslist sur l'ordinateur de Mike Danseglio
Accéder au lecteur USB.
Ray accède au lecteur USB et au dossier \tools qui contient ses outils de ligne de commande.
j: cd toolsRechercher des chaînes suspectes dans le fichier de feuille de calcul.
Ray recherche la chaîne « confidentiel » dans les copies qu'il a des fichiers du dossier personnel de Mike. Pour cela, il utilise la commande Find avec le paramètre /I (ce paramètre ignore la casse des caractères lors de la recherche d'une chaîne) et le paramètre /c (ce paramètre fournit le nombre de lignes contenant la chaîne).
Tout d'abord, Ray redirige les résultats vers l'écran. Il semble que le fichier 090806PR-A139.xls contienne une correspondance, comme l'indique la capture d'écran suivante. Ray exécute donc la commande une seconde fois et redirige les résultats vers le fichier mdevidence-review.txt.
j: cd \evidence_files find /i /c "confidential" *.* find /i /c "confidential" *.* > j:\evidence\mdevidence-review.txt
Notes
En raison des restrictions d'affichage, la commande précédente peut s'afficher sur plusieurs lignes. Elle doit être saisie en une seule ligne à l'invite de commande.
.gif)
**Figure 5.9. Résultats de la recherche de la chaîne « confidentiel », localisée dans 090806PR-A139.XLS**
Ray copie tout d'abord 090806PR-A139.xls dans le fichier \evidence_files et utilise ensuite l'outil Strings pour afficher les chaînes ASCII et Unicode contenues dans le fichier de feuille de calcul.
strings j:\evidence_files\090806PR-A139.xlsLes résultats (qui figurent dans la capture d'écran suivante) indiquent que le fichier de feuille de calcul contient des informations salariales. Ray exécute de nouveau l'outil Strings et redirige les résultats vers son fichier mdevidence-review.txt.
strings j:\evidence_files\090806PR-A139.XLS >> j:\evidence\mdevidence-review.txt
Notes
En raison des restrictions d'affichage, la commande précédente peut s'afficher sur plusieurs lignes. Elle doit être saisie en une seule ligne à l'invite de commande.
.gif)
**Figure 5.10. Résultat de l'exécution de l'utilitaire Strings sur le fichier de feuille de calcul.**
Ray est certain d'avoir trouvé une copie non autorisée d'un fichier paie des RH sur l'ordinateur de Mike Danseglio.
Rapport des preuves
Ray analyse et met en corrélation les preuves, puis rédige un rapport récapitulant ses conclusions. Un modèle de rapport est disponible dans les documents accompagnant ce guide qui sont référencés à la section Feuilles de travail de l'annexe Ressources. Dans ce rapport, Ray inclut des recommandations pour protéger les données confidentielles contre de futures violations. Ray effectue également une vérification de l'intégrité des données et archive ensuite les fichiers de manière appropriée en les gravant avec le rapport final sur un CD.
Le rapport de Ray comprend les informations suivantes :
Objectif du rapport. L'objectif du rapport est d'informer la direction de la Woodgrove Bank de l'incident et d'indiquer comment les résultats de l'enquête peuvent être utilisés pour empêcher de futures violations de la sécurité.
Auteur du rapport. Ray s'identifie, indique sa fonction et précise qu'il a exercé des responsabilités techniques.
Récapitulatif de l'incident. Cette section répertorie les soupçons initiaux et l'impact commercial de l'incident.
Preuves. Cette section comprend la liste des processus en cours d'exécution, le dossier personnel et les images à caractère sexuel trouvés sur l'ordinateur de Mike Danseglio, la liste des applications inacceptables qui étaient en cours d'exécution ainsi que l'emplacement d'un fichier confidentiel contenant des informations salariales.
Analyse. Cette section contient les résultats des enquêtes locale et à distance, qui prouvent le téléchargement d'images à caractère sexuel explicite, la configuration incorrecte de permissions et l'accès à un fichier confidentiel contenant des informations sur le registre du personnel.
Conclusion. Cette section résume le résultat de l'enquête et inclut des recommandations pour éviter à l'avenir des incidents similaires.
Documents justificatifs. Cette section contient les diagrammes du réseau ainsi qu'une liste des procédures et technologies d'enquête informatique utilisées dans cette enquête.
Après avoir soumis son rapport, Ray attend l'autorisation d'effectuer une enquête supplémentaire ou toute autre action requise par la direction.
Notes
Chaque enquête peut être différente. Vous devez utiliser des outils adaptés aux tâches requises et vous permettant d'obtenir les informations que vous recherchez. Il est toujours souhaitable de rassembler plus de preuves que nécessaire.
Configuration du laboratoire de scénario appliqué
Pour reproduire ce scénario appliqué dans un environnement de laboratoire d'essai informatique, vous devez suivre ces étapes :
Déploiement des ordinateurs et création d'un domaine de service d'annuaire Active Directory®.
Création des utilisateurs et des groupes dans Active Directory.
Création des dossiers et des fichiers sur des ordinateurs spécifiques.
Attribution des partages et des autorisations.
Configuration de l'audit.
Déploiement des ordinateurs et création du domaine
Le tableau suivant répertorie les ordinateurs et les systèmes d'exploitation dont vous aurez besoin :
Tableau 5.1. Ordinateurs et systèmes d'exploitation utilisés dans le laboratoire de scénario appliqué
| Nom de l'ordinateur | Système d'exploitation |
|---|---|
| WNB-HQ-DC | Windows Server® 2003 R2 |
| WNB-HQ-FS1 | Windows Server 2003 R2 |
| HQ-IT-PC10 | Windows XP Professional SP2 |
| HQLOAN164 | Windows XP Professional SP2 |
| Groupes | Utilisateurs |
|---|---|
| Administrateur système d'entreprise | Ray Chow |
| Administrateurs de domaine | Ray Chow |
| HR MGRS | Jenny Gottfried, Roland Winkler, Jill Shrader |
| Branch01Mgrs | Mike Danseglio, Nuria Gonzalez |
| Périphérique (ordinateur ou clé USB) | Dossiers | Fichiers |
|---|---|---|
| WNB-HQ-FS1 (serveur de fichiers) | \HR\Internal\Benefits \HR\Internal\Payroll \HR\Internal\Review \Tools | 090806PR-A139.xls (Ce dossier contient tous les outils SysInternal et l'outil FCIV, comme l'indique la section Outils de l'annexe Ressources.) |
| HQLOAN164 (ordinateur de Mike Danseglio) | \Documents and Settings\mdanseglio\My Documents\Personal \Documents and Settings\mdanseglio\My Documents\Personal\xxxpixset | 090806PR-A139.xls (Ce dossier contient plusieurs fichiers .jpg dont le nom de fichier contient xxx. Plusieurs fichiers xxx*.* ont été supprimés de ce dossier et se trouvent dans la corbeille.) |
| HQ-IT-PC10 (Ordinateur de Ray Chow) | \Tools | (Ce dossier contient tous les outils SysInternal et l'outil FCIV, comme l'indique la section Outils de l'annexe Ressources.) |
| Lecteur USB (lecteur USB de Ray Chow) | \Evidence \Evidence_Files \Tools | (Ce dossier contient tous les outils SysInternal et l'outil FCIV, comme l'indique la section Outils de l'annexe Ressources.) |
| Dossier | Autorisations du partage |
|---|---|
| \HR | Branch01Mgrs (Contrôle complet, Modification, Lecture) HR MGRS (Contrôle complet, Modification, Lecture) |
| \Tools | Non partagé ; réservé à l'usage local des utilisateurs qui disposent des informations d'identification administratives sur le serveur. |