[要約] RFC 3227は、証拠の収集とアーカイブのためのガイドラインであり、ネットワークインシデントの調査や法的証拠の確保に役立つ。目的は、証拠の整合性と信頼性を確保し、適切な手順を提供すること。
Network Working Group D. Brezinski
Request for Comments: 3227 In-Q-Tel
BCP: 55 T. Killalea
Category: Best Current Practice neart.org
February 2002
Guidelines for Evidence Collection and Archiving
証拠収集とアーカイブのガイドライン
Status of this Memo
本文書の位置付け
This document specifies an Internet Best Current Practices for the Internet Community, and requests discussion and suggestions for improvements. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネットの最良のプラクティスを指定し、改善のための議論と提案を要求します。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2002). All Rights Reserved.
Copyright(c)The Internet Society(2002)。無断転載を禁じます。
Abstract
概要
A "security incident" as defined in the "Internet Security Glossary", RFC 2828, is a security-relevant system event in which the system's security policy is disobeyed or otherwise breached. The purpose of this document is to provide System Administrators with guidelines on the collection and archiving of evidence relevant to such a security incident.
「インターネットセキュリティ用語集」であるRFC 2828で定義されている「セキュリティインシデント」は、システムのセキュリティポリシーが依存したり違反したりするセキュリティ関連システムイベントです。このドキュメントの目的は、システム管理者に、このようなセキュリティインシデントに関連する証拠のコレクションとアーカイブに関するガイドラインを提供することです。
If evidence collection is done correctly, it is much more useful in apprehending the attacker, and stands a much greater chance of being admissible in the event of a prosecution.
証拠収集が正しく行われた場合、それは攻撃者を逮捕するのにはるかに有用であり、検察の場合に認められる可能性がはるかに高くなります。
Table of Contents
目次
1 Introduction.................................................... 2
1.1 Conventions Used in this Document........................... 2
2 Guiding Principles during Evidence Collection................... 3
2.1 Order of Volatility......................................... 4
2.2 Things to avoid............................................. 4
2.3 Privacy Considerations...................................... 5
2.4 Legal Considerations........................................ 5
3 The Collection Procedure........................................ 6
3.1 Transparency................................................ 6
3.2 Collection Steps............................................ 6
4 The Archiving Procedure......................................... 7
4.1 Chain of Custody............................................ 7
4.2 The Archive................................................. 7
5 Tools you'll need............................................... 7
6 References...................................................... 8
7 Acknowledgements................................................ 8
8 Security Considerations......................................... 8
9 Authors' Addresses.............................................. 9
10 Full Copyright Statement.......................................10
1 Introduction
1はじめに
A "security incident" as defined in [RFC2828] is a security-relevant system event in which the system's security policy is disobeyed or otherwise breached. The purpose of this document is to provide System Administrators with guidelines on the collection and archiving of evidence relevant to such a security incident. It's not our intention to insist that all System Administrators rigidly follow these guidelines every time they have a security incident. Rather, we want to provide guidance on what they should do if they elect to collect and protect information relating to an intrusion.
[RFC2828]で定義されている「セキュリティインシデント」は、システムのセキュリティポリシーが従わない、または侵害されているセキュリティ関連システムイベントです。このドキュメントの目的は、システム管理者に、このようなセキュリティインシデントに関連する証拠のコレクションとアーカイブに関するガイドラインを提供することです。すべてのシステム管理者が、セキュリティインシデントがあるたびにこれらのガイドラインに厳密に従うことを主張することは私たちの意図ではありません。むしろ、侵入に関連する情報を収集および保護することを選択した場合、彼らがすべきことについてのガイダンスを提供したいと考えています。
Such collection represents a considerable effort on the part of the System Administrator. Great progress has been made in recent years to speed up the re-installation of the Operating System and to facilitate the reversion of a system to a 'known' state, thus making the 'easy option' even more attractive. Meanwhile little has been done to provide easy ways of archiving evidence (the difficult option). Further, increasing disk and memory capacities and the more widespread use of stealth and cover-your-tracks tactics by attackers have exacerbated the problem.
このようなコレクションは、システム管理者側のかなりの努力を表しています。近年、オペレーティングシステムの再インストールをスピードアップし、「既知の」状態へのシステムの復帰を促進するために大きな進歩が遂げられており、「簡単なオプション」をさらに魅力的にしています。一方、証拠をアーカイブする簡単な方法を提供するためにはほとんど行われていません(難しいオプション)。さらに、攻撃者によるディスクとメモリの容量の増加と、攻撃者によるステルスとカバーの戦術のより広範な使用が問題を悪化させました。
If evidence collection is done correctly, it is much more useful in apprehending the attacker, and stands a much greater chance of being admissible in the event of a prosecution.
証拠収集が正しく行われた場合、それは攻撃者を逮捕するのにはるかに有用であり、検察の場合に認められる可能性がはるかに高くなります。
You should use these guidelines as a basis for formulating your site's evidence collection procedures, and should incorporate your site's procedures into your Incident Handling documentation. The guidelines in this document may not be appropriate under all jurisdictions. Once you've formulated your site's evidence collection procedures, you should have law enforcement for your jurisdiction confirm that they're adequate.
これらのガイドラインをサイトの証拠収集手順を策定するための基礎として使用する必要があり、サイトの手順をインシデント処理ドキュメントに組み込む必要があります。このドキュメントのガイドラインは、すべての管轄区域では適切ではない場合があります。サイトの証拠収集手順を策定したら、管轄権の法執行機関に適切であることを確認する必要があります。
The key words "REQUIRED", "MUST", "MUST NOT", "SHOULD", "SHOULD NOT", and "MAY" in this document are to be interpreted as described in "Key words for use in RFCs to Indicate Requirement Levels" [RFC2119].
このドキュメントの「必須」、「必須」、「必要はない」、「そうでない」、「そうでない」、「必要はない」、「必要はない」というキーワードは、「RFCSで使用するためのキーワードで要件レベルを示す」で説明されています。「[RFC2119]。
2 Guiding Principles during Evidence Collection
2証拠収集中の2指向の原則
- Adhere to your site's Security Policy and engage the appropriate Incident Handling and Law Enforcement personnel.
- サイトのセキュリティポリシーを遵守し、適切なインシデント処理と法執行機関の職員を巻き込みます。
- Capture as accurate a picture of the system as possible.
- システムの写真をできるだけ正確にキャプチャします。
- Keep detailed notes. These should include dates and times. If possible generate an automatic transcript. (e.g., On Unix systems the 'script' program can be used, however the output file it generates should not be to media that is part of the evidence). Notes and print-outs should be signed and dated.
- 詳細なメモを保管してください。これらには日付と時間を含める必要があります。可能であれば、自動転写産物を生成します。(たとえば、UNIXシステムでは、「スクリプト」プログラムを使用できますが、生成する出力ファイルは証拠の一部であるメディアではないはずです)。メモと印刷物に署名して日付を付けてください。
- Note the difference between the system clock and UTC. For each timestamp provided, indicate whether UTC or local time is used.
- システムクロックとUTCの違いに注意してください。提供される各タイムスタンプについて、UTCまたは現地時間が使用されているかどうかを示します。
- Be prepared to testify (perhaps years later) outlining all actions you took and at what times. Detailed notes will be vital.
- (おそらく数年後)、あなたがとったすべてのアクションを、どの時に概説することを証言する準備をしてください。詳細なメモが不可欠です。
- Minimise changes to the data as you are collecting it. This is not limited to content changes; you should avoid updating file or directory access times.
- データを収集するときに、データの変更を最小限に抑えます。これはコンテンツの変更に限定されません。ファイルまたはディレクトリのアクセス時間の更新を避ける必要があります。
- Remove external avenues for change.
- 変更のために外部の手段を削除します。
- When confronted with a choice between collection and analysis you should do collection first and analysis later.
- コレクションと分析の間の選択に直面した場合、最初にコレクションを行い、後で分析する必要があります。
- Though it hardly needs stating, your procedures should be implementable. As with any aspect of an incident response policy, procedures should be tested to ensure feasibility, particularly in a crisis. If possible procedures should be automated for reasons of speed and accuracy. Be methodical.
- 記載する必要はほとんどありませんが、手順は実装可能である必要があります。インシデント対応ポリシーの任意の側面と同様に、特に危機において、実現可能性を確保するために手順をテストする必要があります。可能であれば、手順は速度と精度の理由で自動化する必要があります。系統的であること。
- For each device, a methodical approach should be adopted which follows the guidelines laid down in your collection procedure. Speed will often be critical so where there are a number of devices requiring examination it may be appropriate to spread the work among your team to collect the evidence in parallel. However on a single given system collection should be done step by step.
- 各デバイスについて、コレクション手順で定められたガイドラインに従う系統的なアプローチを採用する必要があります。多くの場合、速度が重要であるため、調査を必要とするデバイスが多数ある場合、チーム間で作業を広めて証拠を並行して収集することが適切かもしれません。ただし、1つの指定されたシステムコレクションでは、段階的に実行する必要があります。
- Proceed from the volatile to the less volatile (see the Order of Volatility below).
- 揮発性から揮発性の低い方に進みます(以下の揮発性の順序を参照)。
- You should make a bit-level copy of the system's media. If you wish to do forensics analysis you should make a bit-level copy of your evidence copy for that purpose, as your analysis will almost certainly alter file access times. Avoid doing forensics on the evidence copy.
- システムのメディアのビットレベルのコピーを作成する必要があります。フォレンジック分析を行う場合は、その目的のために証拠コピーのビットレベルのコピーを作成する必要があります。分析はほぼ確実にファイルアクセス時間を変更するからです。証拠コピーで法医学を行わないでください。
When collecting evidence you should proceed from the volatile to the less volatile. Here is an example order of volatility for a typical system.
証拠を収集するときは、揮発性から揮発性の低いものに進む必要があります。典型的なシステムのボラティリティの例の例は次のとおりです。
- registers, cache
- レジスタ、キャッシュ
- routing table, arp cache, process table, kernel statistics, memory
- ルーティングテーブル、ARPキャッシュ、プロセステーブル、カーネル統計、メモリ
- temporary file systems
- 一時ファイルシステム
- disk
- ディスク円盤音盤
- remote logging and monitoring data that is relevant to the system in question
- 問題のシステムに関連するリモートロギングと監視データ
- physical configuration, network topology
- 物理的構成、ネットワークトポロジ
- archival media
- アーカイブメディア
It's all too easy to destroy evidence, however inadvertently.
証拠を破壊するのは非常に簡単ですが、不注意に。
- Don't shutdown until you've completed evidence collection. Much evidence may be lost and the attacker may have altered the startup/shutdown scripts/services to destroy evidence.
- 証拠コレクションを完了するまでシャットダウンしないでください。多くの証拠が失われる可能性があり、攻撃者は証拠を破壊するためにスタートアップ/シャットダウンスクリプト/サービスを変更した可能性があります。
- Don't trust the programs on the system. Run your evidence gathering programs from appropriately protected media (see below).
- システム上のプログラムを信用しないでください。適切に保護されたメディアからプログラムを収集する証拠を実行します(以下を参照)。
- Don't run programs that modify the access time of all files on the system (e.g., 'tar' or 'xcopy').
- システム上のすべてのファイルのアクセス時間を変更するプログラムを実行しないでください(たとえば、「tar」または「xcopy」)。
- When removing external avenues for change note that simply disconnecting or filtering from the network may trigger "deadman switches" that detect when they're off the net and wipe evidence.
- ネットワークから単純に切断またはフィルタリングするだけで、「デッドマンスイッチ」がネットから外れているときに検出して証拠を一掃することをトリガーする場合があることを変更するための外部手段を削除する場合。
- Respect the privacy rules and guidelines of your company and your legal jurisdiction. In particular, make sure no information collected along with the evidence you are searching for is available to anyone who would not normally have access to this information. This includes access to log files (which may reveal patterns of user behaviour) as well as personal data files.
- あなたの会社のプライバシー規則とガイドラインとあなたの法的管轄権を尊重します。特に、あなたが検索している証拠とともに収集された情報が、通常この情報にアクセスできない人は誰でも利用できることを確認してください。これには、個人データファイルだけでなく、ログファイルへのアクセス(ユーザーの動作のパターンが明らかになる場合があります)が含まれます。
- Do not intrude on people's privacy without strong justification. In particular, do not collect information from areas you do not normally have reason to access (such as personal file stores) unless you have sufficient indication that there is a real incident.
- 強い正当化なしに人々のプライバシーに侵入しないでください。特に、実際のインシデントがあるという十分な兆候がない限り、通常、アクセスする理由(個人用ファイルストアなど)がない領域から情報を収集しないでください。
- Make sure you have the backing of your company's established procedures in taking the steps you do to collect evidence of an incident.
- 事件の証拠を収集するためにあなたが行う措置を講じる際に、会社の確立された手順の支持があることを確認してください。
Computer evidence needs to be
コンピューターの証拠は必要です
- Admissible: It must conform to certain legal rules before it can be put before a court.
- 許容:裁判所の前に置くことができる前に、特定の法的規則に適合しなければなりません。
- Authentic: It must be possible to positively tie evidentiary material to the incident.
- 本物:証拠資料を事件に積極的に結びつけることが可能である必要があります。
- Complete: It must tell the whole story and not just a particular perspective.
- 完了:特定の視点だけでなく、ストーリー全体を伝える必要があります。
- Reliable: There must be nothing about how the evidence was collected and subsequently handled that casts doubt about its authenticity and veracity.
- 信頼できる:証拠がどのように収集され、その後に処理されたかについては何もないに違いない。
- Believable: It must be readily believable and understandable by a court.
- 信じられない:それは容易に信じられ、裁判所が理解できるに違いない。
3 The Collection Procedure
3収集手順
Your collection procedures should be as detailed as possible. As is the case with your overall Incident Handling procedures, they should be unambiguous, and should minimise the amount of decision-making needed during the collection process.
収集手順は、できるだけ詳細にする必要があります。インシデント全体の処理手順の場合と同様に、それらは明確である必要があり、収集プロセス中に必要な意思決定の量を最小限に抑える必要があります。
The methods used to collect evidence should be transparent and reproducible. You should be prepared to reproduce precisely the methods you used, and have those methods tested by independent experts.
証拠を収集するために使用される方法は、透明で再現可能でなければなりません。使用した方法を正確に再現し、独立した専門家によってそれらの方法をテストする準備をする必要があります。
- Where is the evidence? List what systems were involved in the incident and from which evidence will be collected.
- 証拠はどこにありますか?事件に関与したシステムと、どのエビデンスが収集されるかをリストします。
- Establish what is likely to be relevant and admissible. When in doubt err on the side of collecting too much rather than not enough.
- 関連する可能性が高いものを確立します。疑わしい場合は、十分ではなく収集する側に誤りを犯します。
- For each system, obtain the relevant order of volatility.
- 各システムについて、関連するボラティリティの順序を取得します。
- Remove external avenues for change.
- 変更のために外部の手段を削除します。
- Following the order of volatility, collect the evidence with tools as discussed in Section 5.
- ボラティリティの順序に続いて、セクション5で説明したツールで証拠を収集します。
- Record the extent of the system's clock drift.
- システムのクロックドリフトの範囲を記録します。
- Question what else may be evidence as you work through the collection steps.
- 質問コレクションの手順を実行するとき、他に何が証拠であるかを質問してください。
- Document each step.
- 各ステップを文書化します。
- Don't forget the people involved. Make notes of who was there and what were they doing, what they observed and how they reacted.
- 関係者を忘れないでください。誰がそこにいたのか、彼らが何をしていたのか、彼らが何を観察したのか、どのように反応したかについてメモをします。
Where feasible you should consider generating checksums and cryptographically signing the collected evidence, as this may make it easier to preserve a strong chain of evidence. In doing so you must not alter the evidence.
実行可能な場合は、チェックサムを生成し、収集された証拠に暗号化して署名することを検討する必要があります。そうすることで、証拠を変更してはなりません。
4 The Archiving Procedure
4アーカイブ手順
Evidence must be strictly secured. In addition, the Chain of Custody needs to be clearly documented.
証拠は厳密に確保されなければなりません。さらに、監護権の連鎖を明確に文書化する必要があります。
You should be able to clearly describe how the evidence was found, how it was handled and everything that happened to it.
証拠がどのように発見されたか、それがどのように処理されたか、そしてそれに起こったことすべてを明確に説明できるはずです。
The following need to be documented
以下を文書化する必要があります
- Where, when, and by whom was the evidence discovered and collected.
- どこで、いつ、誰によって発見され、収集された証拠がありましたか。
- Where, when and by whom was the evidence handled or examined.
- 扱われた、または検討された証拠はどこで、いつ、そして誰によって、そして誰によって、そして誰によってあったか。
- Who had custody of the evidence, during what period. How was it stored.
- 誰が証拠を監護していたのか、何時に。どのように保管されましたか。
- When the evidence changed custody, when and how did the transfer occur (include shipping numbers, etc.).
- 証拠が監護権を変更したとき、いつ、どのように譲渡が起こったのか(出荷番号などを含む)。
If possible commonly used media (rather than some obscure storage media) should be used for archiving.
可能であれば、一般的に使用されるメディア(いくつかの不明瞭なストレージメディアではなく)は、アーカイブに使用する必要があります。
Access to evidence should be extremely restricted, and should be clearly documented. It should be possible to detect unauthorised access.
証拠へのアクセスは非常に制限されるべきであり、明確に文書化する必要があります。許可されていないアクセスを検出できるはずです。
5 Tools you'll need
必要な5つのツール
You should have the programs you need to do evidence collection and forensics on read-only media (e.g., a CD). You should have prepared such a set of tools for each of the Operating Systems that you manage in advance of having to use it.
読み取り専用メディア(CDなど)で証拠コレクションとフォレンジックを行うために必要なプログラムが必要です。使用する前に管理する各オペレーティングシステムのこのようなツールセットを準備する必要があります。
Your set of tools should include the following:
ツールのセットには、次のものを含める必要があります。
- a program for examining processes (e.g., 'ps').
- プロセスを調べるためのプログラム(「PS」など)。
- programs for examining system state (e.g., 'showrev', 'ifconfig', 'netstat', 'arp').
- システム状態を調べるためのプログラム(例: 'showrev'、 'ifconfig'、 'netstat'、 'arp')。
- a program for doing bit-to-bit copies (e.g., 'dd', 'SafeBack').
- ビットからビットへのコピーを行うためのプログラム(例: 'dd'、 'safeback')。
- programs for generating checksums and signatures (e.g., 'sha1sum', a checksum-enabled 'dd', 'SafeBack', 'pgp').
- チェックサムと署名を生成するためのプログラム(例:「sha1sum」、チェックサム対応「DD」、「safeback」、「pgp」)。
- programs for generating core images and for examining them (e.g., 'gcore', 'gdb').
- コア画像を生成し、それらを調べるためのプログラム(例:「GCORE」、「GDB」)。
- scripts to automate evidence collection (e.g., The Coroner's Toolkit [FAR1999]).
- 証拠コレクションを自動化するスクリプト(例:検死官のツールキット[FAR1999])。
The programs in your set of tools should be statically linked, and should not require the use of any libraries other than those on the read-only media. Even then, since modern rootkits may be installed through loadable kernel modules, you should consider that your tools might not be giving you a full picture of the system.
ツールのセットのプログラムは静的にリンクされている必要があり、読み取り専用メディアのライブラリ以外のライブラリを使用する必要はありません。それでも、最新のルートキットはロード可能なカーネルモジュールを介してインストールされる可能性があるため、ツールがシステムの全体像を提供していない可能性があることを考慮する必要があります。
You should be prepared to testify to the authenticity and reliability of the tools that you use.
使用するツールの信頼性と信頼性を証言する準備をする必要があります。
6 References
6リファレンス
[FAR1999] Farmer, D., and W Venema, "Computer Forensics Analysis Class Handouts", http://www.fish.com/forensics/
[Far1999] Farmer、D。、およびW Venema、「コンピューターフォレンジック分析クラス配布資料」、http://www.fish.com/forensics/
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2196] Fraser, B., "Site Security Handbook", FYI 8, RFC 2196, September 1997.
[RFC2196] Fraser、B。、「サイトセキュリティハンドブック」、FYI 8、RFC 2196、1997年9月。
[RFC2350] Brownlee, N. and E. Guttman, "Expectations for Computer Security Incident Response", FYI 8, RFC 2350, June 1998.
[RFC2350] Brownlee、N。およびE. Guttman、「コンピューターセキュリティインシデント応答への期待」、FYI 8、RFC 2350、1998年6月。
[RFC2828] Shirey, R., "Internet Security Glossary", FYI 36, RFC 2828, May 2000.
[RFC2828] Shirey、R。、「インターネットセキュリティ用語集」、FYI 36、RFC 2828、2000年5月。
7 Acknowledgements
7謝辞
We gratefully acknowledge the constructive comments received from Harald Alvestrand, Byron Collie, Barbara Y. Fraser, Gordon Lennox, Andrew Rees, Steve Romig and Floyd Short.
Harald Alvestrand、Byron Collie、Barbara Y. Fraser、Gordon Lennox、Andrew Rees、Steve Romig、Floyd Shortから受け取った建設的なコメントに感謝します。
8 Security Considerations
8つのセキュリティ上の考慮事項
This entire document discuses security issues.
このドキュメント全体がセキュリティの問題を発見します。
9 Authors' Addresses
9著者のアドレス
Dominique Brezinski In-Q-Tel 1000 Wilson Blvd., Ste. 2900 Arlington, VA 22209 USA
Dominique Brezinski In-Q-Tel 1000 Wilson Blvd.、Ste。2900アーリントン、バージニア州22209米国
EMail: dbrezinski@In-Q-Tel.org
Tom Killalea Lisi/n na Bro/n Be/al A/tha na Muice Co. Mhaigh Eo IRELAND
Tom Killalea lisi/n na bro/n
Phone: +1 206 266-2196
EMail: tomk@neart.org
Copyright (C) The Internet Society (2002). All Rights Reserved.
Copyright(c)The Internet Society(2002)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。