Να περιγράψετε ενα εργαλείο λογισμικού ψηφιακής εγκληματολογίας (digital forensics) (5η Εργασία 2017-18)
Cellebrite (Φρονιμόπουλος Αλέξανδρος, Κατσούλης Κωνσταντίνος-Παναγιώτης)
επεξεργασίαΛίγα λόγια για το Cellebrite - Εισαγωγή
επεξεργασίαΗ Cellebrite ιδρύθηκε το 1999 από τους Yossi Carmil και Ron Serber και έχει την έδρα της στο Petah Tikva του Ισραήλ. Οι δύο θυγατρικές της, η Cellebrite USA Corp. και η Cellebrite GmbH, εδρεύουν αντίστοιχα στο Parsippany και στο New Jersey των ΗΠΑ και στο Μόναχο της Γερμανίας. Η Cellebrite είναι μια πλήρως ελεγχόμενη θυγατρική της SunSoft (μιας εισηγμένης στο χρηματιστήριο εταιρείας JASDAQ (6736 / JQ)) με έδρα τη Ναγκόγια της Ιαπωνίας. Το 2017, το Τμήμα Κινητής Ζωής του Cellebrite ανανεώθηκε ως Mobilogy, βελτιώνοντας τη θέση της Cellebrite ως πάροχος λύσεων Digital Intelligence. Η Cellebrite εξυπηρετεί την κοινότητα επιβολής του νόμου με προηγμένα εργαλεία και πλατφόρμες στον ψηφιακό τομέα, συμπεριλαμβανομένων των Mobile Forensics, Triage και Analytics. Αρχικά τα εμπορικά προϊόντα της Cellebrite χρησιμοποιήθηκαν ως εργαλεία για τη μετάβαση από τα κινητά τηλέφωνα με δυνατότητα IS-95 ( CDMA ) στο πρότυπο GSM. Το 2007 η Cellebrite δημιούργησε ένα ανεξάρτητο τμήμα που στοχεύει στη βιομηχανία εγκληματολογικής κινητής τηλεφωνίας . Η Mobile Forensics της Cellebrite εισήγαγε τα κινητά ιατροδικαστικά προϊόντα το 2007 με την οικογενειακή επωνυμία Universal Device Forensic Extraction Device (UFED) με δυνατότητα εξαγωγής φυσικών και λογικών δεδομένων από κινητές συσκευές όπως κινητά τηλέφωνα και άλλες φορητές συσκευές χειρός, τη δυνατότητα ανάκτησης των διαγραμμένων δεδομένων και αποκρυπτογράφηση κρυπτογραφημένων και προστατευμένων με κωδικό πληροφοριών. Επίσης, το 2007, η Cellebrite αποκτήθηκε από την FutureDial Incorporated και έναν από τους κύριους μετόχους της, η Sun Corporation στην Ιαπωνία. Σήμερα είναι πλήρως ελεγχόμενη θυγατρική της Sun Corporation.
Cellebrite Universal Foresnic Extraction Device (UFED):
επεξεργασίαΤο Cellebrite Universal Foresnic Extraction Device είναι μια μηχανή ή μια συσκευή η οποία κατασκευάστηκε με σκοπό την εξαγωγή δεδομένων από κινητές συσκευές. Αν επιλέξει κάποιος να το αγοράσει η εταιρία φροντίζει με την αποστολή του να προμηθεύσει τον αγοραστή με τα κατάλληλα μέσα για την εύκολη λειτουργία του όπως το λειτουργικό για τον υπολογιστή, καλώδια μεταφοράς δεδομένων, αντάπτορες και άλλα ακόμα. Το μεγάλο προτέρημα της είναι ότι ακόμα και αν δεν έχει εγκατεστημένο το λογισμικό ο αγοραστής ή δεν έχει το καλώδιο μαζί του μπορεί να την χρησιμοποιήσει και χωρίς αυτά λόγω ότι διαθέτει ενσωματωμένα μέσα όπως Βluetooth, IrDa (υπέρυθρες θύρες), αναγνώστη καρτών SIM. Πάνω στο λογισμικό της συγκεκριμένης συσκευής, από τα αξιοσημείωτα που θα ήταν καλό να αναφερθούν είναι τα εξής:
- Δημιουργία πιστού αντίγραφου της κάρτας SIM'
- Μεταφορά δεδομένων σε αποθηκευτικό χώρο (USB,Κάρτα SD) χωρίς τη μεσολάβηση ενδιάμεσου χώρου (Η/Υ,Smartphone)
- Επανάκτηση διαγραμμένων ή κρυφών δεδομένων
- Αποκρυπτογραφεί κρυπτογραφημένες πληροφορίες
- Υποστηρίζει ένα μεγάλο εύρος συσκευών προηγμένης τεχνολογίας αλλά και απλά κινητά τηλέφωνα (1600 συσκευές feature phone και γενικά οποιαδήποτε συσκευή χρησιμοποιεί Symbian, Microsoft Windows phone, Blackberry και Palm os)
Οι επαφές, τα μηνύματα (διαγραμμένα και μη), τα εικονομηνύματα (δεν είναι πλέον και ο ποιο σύγχρονος τρόπος επικοινωνίας) οι εικόνες, τα βίντεο, λίστα με τις κλήσεις, το ESN, IMEI, ICCID και το IMSI ακόμα και πληροφορίες θέσης του χρήστη όλα αυτά τα δεδομένα εξάγονται από την συσκευή αυτή. Υπάρχουν τρεις τρόποι με τους οποίους μπορεί κάποιος να εξάγει δεδομένα από μία συσκευή.
- Το "Logical extraction" με την συγκεκριμένη μέθοδο το UFED αλληλεπιδρά με το λειτουργικό σύστημα ζητώντας και λαμβάνοντας τα δεδομένα από αυτό.Αρκετά γρήγορη μέθοδος προϋποθέτοντας να μην είναι κλειδωμένη η συσκευή του χρήστη
- Το "File system exctraction" η μέθοδος η οποία δίνει πρόσβαση σε όλα τα αρχεία της συσκευής στον καταχωρημένο ή μη χώρο.
- Το Physical extraction Η πιο αξιόπιστη μέθοδος κάνοντας bit to bit αντιγραφή στον αποθηκευτικό χώρο της συσκευής με το μεγάλο του θετικό ότι τα δεδομένα μεταφέρονται άθικτα με τα κρυμμένα ή τα διαγραμμένα να αντιγράφονται και αυτά. Κατά την διαδικασία αναδημιουργίας του συστήματος είναι δυνατή η επαναφορά μερικών διαγραμμένων δεδομένων. Επόμενο βήμα επαναφορά διαγραμμένων από τη βάση των αρχείων της συσκευής. Η Cellbrite έχει κατασκευάσει έναν Boot Loader σε περίπτωση που δεν ανταποκρίνεται ο Boot Loader της συσκευής για την εξαγωγή δεδομένων. Εξασφαλίζοντας το πέρας της διεργασίας διατηρώντας τα αρχεία ανέπαφα.
Βιβλιογραφία:
επεξεργασίαhttps://www.cellebrite.com/en/home/ https://en.wikipedia.org/wiki/Cellebrite
Foremost ( ΣΤΑΜΟΥ ΦΩΤΕΙΝΗ-ΣΑΜΑΡΑΣ ΗΛΙΑΣ)
επεξεργασίαSANS Investigative Forensic Toolkit (SIFT) Workstation (ΜΠΕΣΝΙΚ ΤΑΜΠΑΚΟΥ 4416168 APETH ΠATΣIANTOY)
επεξεργασίαΜια διεθνής ομάδα ειδικών foresincs υπο την ηγεσία του Rob Lee και των συναδέρφων του δημιούργησαν στην σχολή SANS στο Ορλάντο των ΗΠΑ το SANS Investigate Forensics Toolkit(SIFT) Workstation και αποφάσισαν να το διαθέσουν ως δημόσια υπηρεσία των Δεκέμβριο του 2008.
Αυτή η δωρεάν εργαλειοθήκη μπορεί να συμπεριλάβει οποιοδήποτε σύγχρονο tool και προτείνεται από την SANS να διδάσκεται στο μάθημα Αdvanced Computer Forensic Analisys and Incident Responce(FOR 508).Επίσης αποδεικνύει ότι προηγούμενες έρευνες καθώς και ανταποκρίσεις σε πιθανούς εισβολείς μπορούν να ολοκληρωθούν χρησιμοποιώντας ένα cutting-edge ανοιχτού κώδικα εργαλείο που θα είναι διαθέσιμο σε αυτήν την εργαλειοθήκη.
Το SIFT το οποίο αναπτύσσεται και ενημερώνεται συνεχώς με τελευταία ενημέρωση τον Ιανουάριο του 2014 την 3.0 απο την διεθνή ομάδα ειδικών forensic ουσιαστικά είναι μια ομάδα από δωρεάν εργαλείων ανοικτού κώδικα τα οποία είναι σχεδιασμένα να εκτελούν λεπτομερείς ψηφιακές εξετάσεις εγκληματολογικής φύσεως σε ποικίλα περιβάλλοντα.
Με πάνω απο 100.000 λήψεις μέχρι και σήμερα,η SIFT εξακολουθεί να είναι ένα από το πιο δημοφιλή ανοιχτού κώδικα forensic Το SIFT Workstation έχει γίνει γρήγορα το "go to" εργαλείο για την πραγματοποίηση εξετάσεων.Τα ισχυρά ανοιχτού κώδικα εργαλεία που διαθέτει πάνω στο ευέλικτο και σταθερό λειτουργικό σύστημα των Linux κάνουν την πρόσβαση φοβερά γρήγορη σε οτιδήποτε πρέπει να προβέι σε ενδελεχή ανάλυση στο σύστημα του υπολογιστή.
Τα εργαλεία που περιέχει είναι εκατοντάδες έτσι παρακάτω θα αναλυθούν τα 4 πιο σημαντικά:
1. log2timeline(Timeline Generation Tool) έχει σχεδιαστεί ως ένα πλαίσιο για τη δημιουργία χρονοδιαγράμματος τεχνούργημα και ανάλυση. Ο κύριος σκοπός είναι να παρέχει ένα ενιαίο εργαλείο που θα αναλύσει τα διάφορα αρχεία καταγραφής και αντικείμενα που βρέθηκαν σε ύποπτο συστήματα και παράγει ένα αρχείο που μπορεί να χρησιμοποιηθεί για να δημιουργήσετε ένα χρονοδιάγραμμα, χρησιμοποιώντας εργαλεία.
2. Rekall Framework(Memory Analysis) είναι η αυτόνομη συνέχιση της έκδοσης Volatility Technology Preview (TP), γνωστός και ως το υποκατάστημα της scudette. Ένας από τους στόχους της Rekalls είναι να παρέχει καλύτερη ενσωμάτωση με GRR βελτιώνοντας την ευελιξία του πλαίσιο και έχοντας μνήμη απόκτηση ικανότητας.
3. Volatility Framework(Memory Analysis) είναι μια εντελείς ανοιχτή συλλογή εργαλείων, εφαρμόζονται σε Python κάτω από την GNU γενική άδεια δημόσιας χρήσης (GPL v2), για την εξαγωγή των ψηφιακών αντικειμένων από δείγματα πτητικών μνήμη (RAM).Οι τεχνικές εξόρυξης πραγματοποιούνται εντελώς ανεξάρτητα από το σύστημα που ερευνάται, αλλά προσφέρουν πρωτοφανή ορατότητα στο κράτος χρόνου εκτέλεσης του συστήματος. Το πλαίσιο έχει ως στόχο να εισαγάγει τους ανθρώπους τις τεχνικές και τις περιπλοκές που συνδέονται με την εξαγωγή ψηφιακών αντικειμένων από την μνήμη ευμετάβλητων δειγμάτων και να παράσχει μια βάση για περαιτέρω εργασία σε αυτήν την συναρπαστική περιοχή της έρευνας.
4. Autopsy σχεδιάστηκε για να είναι μια πλατφόρμα end-to-end με ενότητες που έρχονται με αυτό από το κουτί, και άλλοι που είναι διαθέσιμα από τρίτους.
Πηγές: https://digital-forensics.sans.org/community/downloads https://github.com/sans-dfir/sift https://sift.readthedocs.io/en/latest/ https://en.wikipedia.org/wiki/SANS_Investigative_Forensics_Toolkit https://www.sans.org/instructors/rob-lee https://media.readthedocs.org/pdf/sift/latest/sift.pdf
Digital Forensics Framework(Μαρία Μητροπάνου,Δανάη Σταματέλου)
επεξεργασίαΤι είναι η ψηφιακή εγκληματολογία(Digital Forensics)
Η ψηφιακή εγκληματολογία(Digital Forensics)είναι ένα τμήμα της ψηφιακής εγκληματολογικής επιστήμης που περιέχει την έρευνα και την ανάκτηση περιεχομένου που βρίσκεται τοποθετημένο σε ψηφιακές συσκευές και σχετίζεται με το έγκλημα πληροφορικής. Η ψηφιακή εγκληματολογία είχε ταυτιστεί με την εγκληματολογία υπολογιστών ενώ αργότερα επεκτάθηκε ώστε να ικανοποιήσει την διερεύνηση όλων των συσκευών που έχουν την δυνατότητα να αποθηκεύουν ψηφιακά δεδομένα. Από την ψηφιακή εγκληματικότητα διεξάγονται ορισμένες μορφές έρευνας , όπως υποθέσεις ενώπιον δικαστήριων, έλεγχος της μη εξουσιοδοτημένης παραβίασης δικτύου και έρευνες στον ιδιωτικό τομέα(εταιρικές έρευνες). Από τεχνική πλευρά μια έρευνα χωρίζεται σε επιμέρους μέρη τα οποία αφορούν το είδος των ψηφιακών συσκευών που εμπλέκονται. Έτσι έχουμε διαχωρισμό σε :
- Εγκληματολογία δικτύων
- Εγκληματολογία κινητών τηλεφώνων
- Εγκληματολογία υπολογιστών
Γενικά η ψηφιακή εγκληματολογική διαδικασία συμπεριλαμβάνει την κατάσχεση, την απόκτηση, την ερμηνεία του ψηφιακού περιεχομένου και την ανάπτυξη μιας έκθεσης με τα συλλεγόμενα στοιχεία.
Τι είναι το Digital Forensics Framework(DFF);
Το Digital Forensics Framework(DFF) αναπτύχθηκε από την εταιρία ArxSys, αποτελεί εργαλείο ψηφιακής εγκληματολογίας , είναι λογισμικό ανοικτού κωδικά και είναι χτισμένο πάνω από μια ειδική διεπαφή προγραμματισμού εφαρμογών(Application Programming Interface – API ) ,το οποίο καθοδηγεί τον χρήστη μέσω των κύριων βημάτων μια ψηφιακής έρευνας και έτσι έχει ως αποτέλεσμα να μπορεί να πραγματοποιηθεί χρήση του Digital Forensics Framework από ειδικούς και μη. Χρησιμοποιείται για την διατήρηση, συγκέντρωση και ανακάλυψη ψηφιακών αποδείξεων χωρίς να τίθεται θέμα διακινδύνευσης των δεδομένων ή του συστήματος. Είναι γραμμένο σε γλώσσες προγραμματισμού C++, Python και είναι διαθέσιμο σε επτά φυσικές γλώσσες.Για την διεπαφή των χρηστών το Digital Forensics Framework (DFF) διαθέτει ένα γραφικό περιβάλλον χρήστη(Graphical User Interface, GUI) που κάνει δυνατή την χρήση εργαλείων όπως εισαγωγή ετικετών, δημιουργία σελιδοδεικτών, αναδρομική προβολή και μηχανική αναζήτηση σε πραγματικό χρόνο για ταχύτατη εύρεση έγγραφων ενώ παράλληλα μπορεί να εκτελέσει ενέργειες για να αυτοματοποιήσει εργασίες που επαναλαμβάνονται. Ακόμα πραγματοποιεί έλεγχο στο δίσκο και την διατήρηση αποδεικτικών στοιχειών. Μέσα από την γραμμή εντολών γίνεται επιτρεπτό στον χρήστη να πραγματοποιήσει ψηφιακή διερεύνηση από απόσταση. Επίσης η συγγραφή έρευνας από έμπυρους χρήστες και προγραμματιστές του Digital Forensics Framework μπορεί να πραγματοποιηθεί απευθείας από τον διερμηνέα της Python . Διατίθεται με την άδεια χρήσης General Public License(GPL) και υποστηρίζεται από τα λειτουργικά συστήματα Linux, Microsoft Windows , ενώ έχουν δημοσιευτεί βιβλία που κάνουν αναφορά στο Digital Forensics Framework (DFF).
ΒΙΒΛΙΟΓΡΑΦΙΑ
- https://github.com/arxsys/dff
- https://en.wikipedia.org/wiki/Digital_forensics
- https://en.wikipedia.org/wiki/Digital_Forensics_Framework
- https://dspace.lib.uom.gr/bitstream/2159/14918/6/EleutheriadisAthanasiosMsc2011.pdf
- https://n0where.net/best-digital-forensics-tools/
Caine.(Ελευθεριάδης Στυλιανός 4414177, Βασίλης Παπαθανασίου 4413009)
επεξεργασίαΤο CAINE είναι μια GNU/LINUX έκδοση βασισμένη στην Ubuntu 16.04 έκδοση διαμορφωμένη για την ηλεκτρονική εγκληματολογία. Ο διευθυντής της είναι ο Ιταλός Nanni Bassetti. Τα αρχικά CAINE σημαίνουν Computer Aided Investigative Environment, δηλαδή εξερευνητικά υπολογιστικά περιβάλλοντα. Προσφέρει ολοκληρωμένο περιβάλλον το οποίο ενσωματώνει τα ήδη υπάρχοντα εργαλεία λογισμικού σαν ενότητες λογισμικού και παρέχει φιλικό προς τον χρήστη περιβάλλον. Σκοπεύει να εξασφαλίσει στον χρήστη φιλική χρήση του λογισμού με ευανάγνωστα εργαλεία. Η άδεια χρήσης που έχει το λογισμικό CAINE είναι GNU Lesser public.Αυτό σημαίνει ότι το λογισμικό αυτό είναι ελευθέρα προσβάσιμο για τον κάθε χρήστη με σκοπό να βοηθήσει με την χρηστή του τους χρήστες του, άλλα επίσης επιτρέπει και αλλαγές στο λογισμικό του, χωρίς όμως να αναλαμβάνει η εταιρία την ευθύνη για τυχόν προβλήματα στην λειτουργεία του. Ακόμα το CAINE Distro χρησιμοποιεί και κάποιες επιπλέον άδειες χρήσης πέρα από την GPL(general public license) όπως είναι η LGPL. Και εδώ πάλι χωρίς να παρέχει υποστήριξη για οποιοδήποτε λογισμικό που μπορεί να έχει προστεθεί από άλλους χρήστες πέραν της ιδίας της εταιρείας. Η πολιτική τοποθέτηση για περιφερειακές συσκευές. Ποτε δεν συνδέεται αυτόματα οποιαδήποτε συσκευή όταν ο χρήστης κάνει απλά κλικ στο εικονίδιο της συσκευής. Το σύστημα απλά αναγνωρίζει την συσκευή. Για να την χρησιμοποιήσει πρέπει να την εκτελέσει μόνο μέσο ενός τερματικού παραθυρου η μέσο του εργαλείου που προεγκαταστάθηκε. Το ίδιο ισχύει και για την ασφαλή αποσύνδεση μιας περιφερειακής συσκευής. Αν ο χρήστης διαθέτη έκδοση νεότερη της 4.0, έχει την δυνατότητα να δημιουργήσει "Live USB" χρησιμοποιώντας την εφαρμογή RUFUS. Yποστηρίζει 5 γλώσσες, Αγγλικά, Ιταλικά, Γαλλικά , Γερμανικά και Πορτογαλικά. Οι μεταφράσεις στα γαλλικά και τα γερμανικά έγιναν από τον Guy Vucken, ενώ στα Πορτογαλικά από τον Tony Rodrigues. H διεύθυνση αναζητά άτομα που θέλουν να ασχοληθούν με την μετάφραση σε νέες γλώσσες η να διορθώσουν τυχόν απροσεξίες στις ήδη υπάρχον μεταφράσεις. Η πολιτική της ομάδας του λογισμικού CAINE αντιπροσωπεύει την φιλοσοφία του ανοιχτού κώδικα, γι'αυτό τον λόγο ο καθένας θα μπορέσει να αναλάβει το πόστο του προγραμματιστή πάνω σε αυτήν. Η διανομή του κώδικα είναι δωρεάν και έτσι δίνετε η ευκαιρία να χτιστεί κάποια νέα έκδοση με αποτέλεσμα την μεγάλη διάρκεια του έργου. Για πληροφορίες σχετικά με την διανομή σε εσάς αλλα και για την ορθή εγκατάσταση του λογισμικού επισκεφτείτε την αυθεντική ιστοσελίδα : www.caine-live.net .
Volatility (Καραδημος Γεωργιος 4416040 ,Γεωργιου Θωμας 4416197)
επεξεργασίαΤο Volatility Framework είναι ένα πρόγραμμα - εργαλειοθήκη ανοιχτού κώδικα που χρησιμοποιείται για στην συλλογή στοιχείων και ανάλυση κακόβουλου λογισμικού στη ψηφιακή εγκληματολογία.
Το πρόγραμμα δημιούργησε ο Aaron Walters στην ακαδημαϊκή μελέτη του στον τομέα του Digital Forensics. Η πρώτη δημόσια έκδοση του προγράμματος ήρθε το 2007 και παρουσιάστηκε στο BlackHat.
Έχει την δυνατότητα να εξάγει πληροφορίες για ένα σύστημα αναλύοντας την μνήμη του συστήματος , εφαρμογές και διεργασίες σε λειτουργιά, θύρες και συνδέσεις δικτύου, DLLs και πυρήνες εγγράφων. Μπορεί ακόμα να αναλύσει crush dumps των Windows ή και αδρανή αρχεία(hibernation).
Αποτελεί κομμάτι και στην εργαλειοθήκη των KALI Linux, υπάγεται στην άδεια χρήσης GNU General Public License (GPL v2.0) και ο κώδικας είναι γραμμένος σε Python. Η ονομασία προέρχεται από την ιδιότητα Volatile που σημαίνει πτητικός εφόσον ο στόχος του είναι να εξάγει τα στοιχεία της μνήμης RAM και να μαζέψει πληροφορία από ένα ασταθές (ζωντανό) περιβάλλον. Το πρόγραμμα τρέχει χωρίς να έχει κάποια επαφή ή αλληλεπίδραση (φυσική διεργασία) με το λειτουργικό σύστημα πράγμα που του επιτρέπει μεγαλύτερη ανάλυση σε βάθος αρχείων και του ιδίου του συστήματος. Επίσης δουλεύοντας σε ένα σύστημα που βρίσκεται σε λειτουργία έχει πλήρη πρόσβαση στη RAM αρά και σε όσα στοιχεία μπορεί να είναι συνδυαστικά χρήσιμα όπως κωδικοί για logins σε διαφορά ανοιχτά προγράμματα, αρχεία και web sites.
Το Volatility μπορεί να επεξεργαστεί ένα μεγάλο πλήθος memory dumps από όλα τα γνωστά 32 και 64 bit συστήματα συμπεριλαμβανομένου Windows XP,Server 2003/2008/2012, Windows Vista, Windows 7, Windows 8.1, Windows 10. Χρησιμοποιώντας πάνω από 30 διαφορετικά plugins για την ανάλυση πυρήνων Linux (από 2.6.11 – 3.5.Χ) και άλλα distro όπως Debian, Ubuntu, Fedora, κα. Επίσης υποστηρίζει Mac OS X .
Ως πολυεργαλείο λοιπόν, εκτελεί εντολές κελύφους (shell commands), εντοπίζει malware αναλύοντας την χρήση του CPU και κρυμμένων system/kernel threads,χρησιμοποιείται στην εύρεση και ανάκτηση κωδίκων ακόμα και σε κρυπτογραφημένο περιβάλλον με TrueCrypt.
Μπορεί να επεξεργαστεί διάφορα Memory Format ενώ έχει την ικανότητα και της μετατροπής μεταξύ αυτών.
-Windows Crash Dump/Hibernation (7 and earlier)
-Raw Physical Memory
-FireWire (IEEE 1394)
-VirtualBox Core Dumps / VMware Save states
-LiME
Καθώς επίσης έχει την επιλογή για την έξοδο των αποτελεσμάτων σε διάφορους τύπους αρχείων HTML, , pstree (tree-like format listing), SQLite3 Database.
Τέλος το Volatility Workbench είναι ένα άλλο πρόγραμμα κατασκευασμένο ακριβώς για να κάνει το Volatility πιο εύκολο και γρήγορο στη χρήση.
Πηγές:
- Volatility Forensics Framework
- Tool Presentation
- https://code.google.com/p/volatility
- Volatility Plugins
- Presentation
COFEE (ΔΗΜΗΤΡΗΣ ΤΖΑΒΑΡΑΣ, ΧΡΗΣΤΟΣ ΓΚΑΝΙΔΗΣ)
επεξεργασίαΤο COFEE ( Computer Online Forensic Evidence Extractor) είναι μια εργαλειοθήκη της Microsoft, με στόχο την αρωγή των διερευνητών των ψηφιακών εγκλημάτων για την εξαγωγή στοιχείων μέσα από έναν υπολογιστή που χρησιμοποιεί Windows. Το λογισμικό αυτό μπορεί να εγκατασταθεί είτε σε ένα USB Flash Drive είτε σε έναν εξωτερικό σκληρό δίσκο. Με την εισαγωγή της συσκευής στην οποία είναι εγκατεστημένο το COFEE η ενεργοποίηση του προϊόντος γίνεται άμεσα. Το λογισμικό αυτό λοιπόν, αποτελείται από 150 εργαλεία και από ένα γραφικό περιβάλλον για να βοηθήσει τους ερευνητές στη συλλογή των στοιχείων. Η λειτουργία του COFEE βασίζεται σε τρία στάδια. Στο πρώτο στάδιο, οι ερευνητές επιλέγουν τα στοιχεία τα οποία θέλουν να αντλήσουν από τον υπολογιστή του υπόπτου. Το δεύτερο στάδιο είναι η αποθήκευση αυτών των δεδομένων σε ένα USB Flash Drive ή σε έναν εξωτερικό σκληρό δίσκο. Τέλος, το τρίτο στάδιο είναι μία αναφορά για τα δεδομένα τα οποία έχουν συλλεχθεί από τον υπολογιστή του υπόπτου. Επιπλέον, η Microsoft επισημαίνει ότι η συλλογή των στοιχείων με το COFEE γίνεται σε μόλις 20 λεπτά ενώ παλαιότερα η διαδικασία αυτή έπαιρνε από 3 έως 4 ώρες. Το Νοέμβριο του 2009 αντίγραφα του COFEE κυκλοφόρησαν παράνομα στο ευρύ κοινό μέσω των torrent sites, κάτι που το έχει επιβεβαιώσει και η Microsoft με επίσημη ανακοίνωσή της. Ακόμη, μία ομάδα προγραμματιστών το ίδιο έτος, δημιούργησε ένα άλλο λογισμικό, που ονομάζεται DECAF (Detect and Eliminate Computer Acquired Forensics). Το λογισμικό αυτό υποσχόταν την προστασία των υπολογιστών από το πρόγραμμα COFEE. Στόχος του ήταν η παρακολούθηση σε πραγματικό χρόνο των υπογραφών του COFEE και σε περίπτωση εντοπισμού υπογραφής θα εκτελούνταν πολλές διεργασίες ταυτόχρονα στον υπολογιστή του υπόπτου, με απώτερο σκοπό την παρεμπόδιση της λειτουργίας του COFEE. Ωστόσο, το ίδιο έτος οι προγραμματιστές που δημιούργησαν το DECAF ανακοίνωσαν ότι το πρόγραμμα ήταν φάρσα και ποτέ δεν έκανε αυτό που υποσχέθηκε.
Ιστορία
επεξεργασίαΤο COFEE αναπτύχθηκε από τον Anthony Fung, έναν ερευνητή της ομάδας της Microsoft για την ασφάλεια του διαδικτύου. Το 2008 το COFEE χρησιμοποιήθηκε για την εξιχνίαση μίας υπόθεσης παιδικής πορνογραφίας στη Νέα Ζηλανδία. Η υπόθεση στέφθηκε με τεράστια επιτυχία οδηγώντας στη συλλογή των απαραίτητων στοιχείων για την σύλληψη των υπόπτων. Η επιτυχία αυτή οδήγησε στην υπογραφή συμφωνίας μεταξύ της INTERPOL και της Microsoft το 2009. Με την συμφωνία αυτή η INTERPOL έγινε ο βασικός διανομέας του COFEE σε διεθνές επίπεδο. Ωστόσο για τις Ηνωμένες Πολιτείες της Αμερικής ο βασικός διανομέας του COFEE είναι το National White Collar Crime Center. Αξίζει να σημειωθεί ότι σήμερα, το COFEE χρησιμοποιείται σε πάνω από 15 χώρες από περισσότερους από 2000 ερευνητές.
Βιβλιογραφία
επεξεργασίαHelix3 (ΓΙΑΝΝΟΠΟΥΛΟΥ ΑΘΗΝΑ - ΠΑΝΑΓΙΩΤΟΠΟΥΛΟΥ ΠΕΛΑΓΙΑ)
επεξεργασίαΤο Helix3 είναι ένα Live CD που βασίζεται πάνω στο Ubuntu Linux , μπορεί να χρησιμοποιηθεί και σε Windows. Σκοπός της δημιουργίας του είναι να χρησιμοποιηθεί για την απόκριση περιστατικών σε computer forensics καθώς και για περιπτώσεις ηλεκτρονικής ανακάλυψης (e-discovery) όπως κακόβουλες ή άσεμνες συμπεριφορές και ενέργειες. Το Helix είναι προϊόν της εταιρίας e-fense , αποτελεί open source προσέγγιση λογισμικού τύπου digital forensics σε εργασιακές ή προσωπικές ανάγκες. Η e-fense δεν σχεδιάζει πλέον την ενημέρωση της δωρεάν έκδοσης του Helix, την Helix3 2009 R1. Την λίστα των προϊόντων της αποτελούν το Helix3 Enterprise (είναι μια οικονομικά αποδοτική λύση για την ασφάλεια οποιαδήποτε επιχείρησης στον κυβερνοχώρο) και Helix3 Pro το νεότερο σε σειρά προϊόν (διαθέσιμο μόνο για τα μέλη του forum e-fense με ετήσια συνδρομή).
Το βασικό μειονέκτημα του Helix3 είναι ότι χρησιμοποιεί ένα live και συνεχώς μεταβαλλόμενο περιβάλλον [Live Analysis] για τη συλλογή και την ανάλυση των δεδομένων. Αντίθετα, το πλεονέκτημα του είναι ότι λειτουργεί σε μη μεταβαλλόμενο ή “νεκρό” περιβάλλον [Dead Analysis] το οποίο είναι το ενδεδειγμένο για λειτουργίες τύπου digital forensics.
Διαθέτει κατηγορίες σχετικά με το περιβάλλον και το λογισμικό του:
Όπως το System Information: εδώ υπάγονται σ συγκεντρωτικά στοιχεία [drives, network, running processes κ.τ.λ.] για το προς εξέταση σύστημα.
Live Acquisition: εργαλεία όπως τα Helix Acquisition, FTK Imager, Winen και Mantech MDD μπορούν να χρησιμοποιηθούν για να πάρετε πιστά αντίγραφα [images] τόσο των σκληρών δίσκων όσο και της μνήμης του προς εξέταση συστήματος για περαιτέρω ανάλυση.
Incident Response: περιλαμβάνει προγράμματα που θα σας επιτρέψουν τη συλλογή πολλών και χρήσιμων στοιχείων [audit] από το προς εξέταση σύστημα. Εργαλεία όπως τα WFT, FRU, IRCR2 και Nigilant32. Υπάρχουν ειδικά εργαλεία για την ανάκτηση διαγραμμένων αρχείων ή μυστικών κωδικών [passwords], τον εντοπισμό rootkits, τη συλλογή στοιχείων σχετικών με τη δικτυακή κίνηση του υπολογιστή και τον έλεγχος της Registry.
Browse Contents: Μέσα από το γραφικό περιβάλλον του Helix3 μπορείτε να περιηγηθείτε στα αποθηκευμένα δεδομένα τού προς εξέταση συστήματος. Μας ενημερώνει για τις ημερομηνίες δημιουργίας, πρόσβασης και τροποποίησης αυτών των αρχείων.
Scan for Pictures: Εύκολος εντοπισμός εικόνων και φωτογραφιών που είναι αποθηκευμένες στον προς εξέταση υπολογιστή.
Investigative Notes: Παρέχει ένα περιβάλλον στο οποίο μπορείτε να καταγράψετε την εξέλιξη της έρευνάς.
Πήγες: http://gr.pcmag.com http://www.forensicswiki.org/wiki/Helix3 http://www.e-fense.com/products.php
Wireshark -(ΧΟΥΣΕΙΝ ΠΑΛΑΖΛΗ ΜΩΧΑΜΜΕΤ, ΓΕΩΡΓΙΟΣ ΣΠΥΡΟΣ ΖΑΡΟΓΙΑΝΝΗΣ)
επεξεργασίατο Wireshark είναι μια ελέυθερη εφαρμογή ανοιχτού κώδικα και είναι ένα από τα καλύτερα εργαλεία για forensic ανάλυση δικτύου. Η λειτουργία του πρόκειται για την ανάλυση, την παρακολούθηση, και την αντιμετώπιση διάφορων διαδικτυακών προβλημάτων, χρησιμοποιείται και για εκπαιδευτικούς σκοπούς. Δημιουργήθηκε στα τέλη της δεκαετίας του 1990, από τον Gerald Combs και αρχικά ονομάστηκε Ethereal, ενώ τον Μάιο του 2006 μετονομάστηκε σε Wireshark λόγω κάποιων εμπορικών ζητημάτων. Το πρόγραμμα γράφτηκε σε κώδικα C και C++ και χρησιμοποιεί την Γενική άδεια δημόσιας χρήσης (GNU, General Public License).
Η πιο πρόσφατη έκδοση που κυκλοφορεί βγήκε στις 10 Οκτώβριου του 2017.Το λογισμικό είναι διαθέσιμο στα λειτουργικά συστήματα όπως τα Windows, Linux, Mac OS X και Solaris. Χρησιμοποιεί το GTK+ για το γραφικό περιβάλλον και το Pcap για σύλληψη πακέτων .Ουσιαστικά, το Λογισμικό αυτό δίνει την δυνατότητα στους χρήστες ,να παρακολουθούν ολόκληρη την κίνηση των πληροφοριών στο δίκτυο. Το Wireshark είναι παρόμοιο με το πρόγραμμα tcpdump, όμως έχει γραφικό front-end και πολλές περισσότερες επιλογές ταξινόμησης και φιλτραρίσματος. Το tcpdump είναι ένας κοινός αναλυτής πακέτων που τρέχει κάτω από τη γραμμή εντολών . Επιτρέπει στο χρήστη να εμφανίζει μηνύματα TCP / IP και άλλα πακέτα που μεταδίδονται ή λαμβάνονται από ένα δίκτυο στο οποίο είναι συνδεδεμένος ο υπολογιστής . Χρησιμοποιεί την άδεια BSD ,επίσης και το tcpdump είναι ένα ελεύθερο λογισμικό .
Το Wireshark παρέχει την δυνατότητα να παρακολουθήσει όλη την κίνηση που γίνεται στο δίκτυο θέτοντας την κάρτα δικτύου σε λειτουργία (promiscuous mode) μπορεί να παρατηρεί ευκολότερα όλη την κίνηση του δικτύου.
Αλλά η σύλληψη πακέτων σε (promiscuous mode) δεν είναι επαρκής για να δείτε όλη την κυκλοφορία στο δίκτυο. Με το port mirroring και με τις διάφορες taps δικτύου μπορούν να επεκτείνουν την σύλληψη πακέτων σε οποιοδήποτε σημείο του δικτύου.
Επιπλέον έχει την δυνατότητα να διαβάζει τα τρέχοντα δεδομένα μέσω διαφόρων τύπων δικτύων όπως είναι για παράδειγμα το loopback,το Ethernet και το PPP(Point to Point Protocol).
Επίσης, βελτιώνει τα δεδομένα τα οποία εμφανίζονται χρησιμοποιώντας ένα φιλτράρισμα.
Τα αρχεία που έχουν ληφθεί μπορούν να επεξεργαστούν με προγραμματισμό ή να μετατραπούν μέσω διακόπτων γραμμής εντολών στο πρόγραμμα "editcap". Επιπρόσθετα οι χρήστες μπορούν να δημιουργησούν plug-ins για την ανάλυση νέων πρωτοκόλλων. Επίσης το πρόγραμμα ανιχνέυει κλήσεις VoIP και χρησιμοποιώντας μια συμβατή κωδικοποίηση μπορεί να ακουστεί και η συνομιλία. Μια ακόμη λειτουργία είναι οι ασύρματες συνδέσεις μπορούν επίσης να φιλτραριστούν για όσο διάστημα διασχίζουν το παρακολουθούμενο δίκτυο Ethernet. Τέλος περιλαμβάνει διάφορες ρυθμίσεις, χρονόμετρα και φίλτρα προκειμένου να διαβεβαιώνει ότι θα αποθηκεύονται μόνο τα δεδομένα τα οποία αναζητούνται.
Βιβλιογραφία
Xplico (Συντζάκης Γιώργος Μπομπόλης Δημήτρης)
επεξεργασίαΤι είναι digital forensics;
Η ψηφιακή εγκληματολογία είναι ένα τμήμα της εγκληματολογικής επιστήμης που περιλαμβάνει την ανάκτηση και τη διερεύνηση υλικού που βρίσκεται σε ψηφιακές συσκευές και η οποία έχει να κάνει με το έγκλημα πληροφορικής. Προέκυψε λόγω της τεράστιας αύξησης της εγκληματολογίας κυρίως στο χώρο της κυβέρνησης. Επιπροσθέτως, η ανάπτυξη αυτή οδήγησε σε μεγαλύτερη ευαισθητοποίηση σχετικά με την ασφάλεια υπολογιστών και την προστασία ενάντια σε εγκλήματα που έχουν πραγματοποιηθεί με την χρήση υπολογιστή. Γενικά η ψηφιακή εγκληματολογική διαδικασία συμπεριλαμβάνει την κατάσχεση, την απόκτηση, την ερμηνεία του ψηφιακού περιεχομένου και την ανάπτυξη μιας έκθεσης με τα συλλεγόμενα στοιχεία.
Xplico
Το Xplico δεν είναι απλά ένας packet analyzer, αλλά ένα εργαλείο ανάλυσης εγκληματολογικού δικτύου. Αρχικά, στόχος του είναι η ανασύνταξη των δεδομένων εφαρμογής καθώς και η αναγνώριση των πρωτοκόλλων με μία τεχνική που ονομάζεται ανίχνευση ανεξάρτητου πρωτοκόλλου Port PI P I. Το Xplico μπορεί να χρησιμοποιηθεί και από την κονσόλα UNIX συστημάτων αλλά και μέσα από γραφικό περιβάλλον, μέσω του διαδικτύου. Επίσης, χρησιμοποιείται για την εξαγωγή δεδομένων που αφορούν τις εφαρμογές, από τη κίνηση που έχει συλλεχθεί στο δίκτυο. Για παράδειγμα μπορεί από ένα pcap αρχείο, να εξάγει όλα τα email που μεταφέρθηκαν με τα πρωτόκολλα POP, IMAP και SMTP, καθώς και τα περιεχόμενα τα οποία μεταφέρθηκαν με το πρωτόκολλο HTTP, FTP, TFTP και VoIP. Επιπλέον, μπορεί να χρησιμοποιηθεί σε πλατφόρμες με ενσωματωμένο επεξεργαστή πυρήνα ARM ή τυπικούς διακομιστές πολλαπλών πυρήνων, αξιοποιώντας τη βέλτιστη δυνατή χρήση των διαθέσιμων πόρων.
Γενικά:
Συμπερασματικά, η ψηφιακή εγκληματολογία λόγω του μεγάλου όγκου των δεδομένων που διακινούνται στο χώρο ενός οργανισμού υπάρχει σημαντική πιθανότητα να χαθούν πακέτα από την διερεύνηση είτε να μειωθεί το διαθέσιμο εύρος ζώνης στους χρήστες του οργανισμού. Μπορεί να αποδειχθεί μεγάλο πλήγμα για τους χρήστες αλλά και για ένα κρατος ακόμη περισσότερο λόγω της μεγάλης ποικιλίας σε πληροφορίες που ανά πάσα στιγμή, υπάρχει περίπτωση να διαρρεύσουν. Η λύση που προτείνεται σε αυτό το ζήτημα είναι η προσεκτική μελέτη του δικτύου του οργανισμού ώστε να επιλεχθεί ο κατάλληλος εξοπλισμός για τη διερεύνηση του δικτύου καθώς και τους εξιδεικευμένους ανθρώπους οι οποίοι μπορούν να ανταπεξέλθουν υπό αυτές τις συνθήκες.
Πηγές:
https://www.nss.gr/el/news/738-computer-forensics-meets-siem.html
http://resources.infosecinstitute.com/computer-forensics-tools/#gref
https://en.wikipedia.org/wiki/Xplico
Oxygen Forensic Suite (ΜΑΡΙΑ ΣΑΝΤΙΞΗ,ΚΑΤΕΡΙΝΑ ΤΕΛΙΟΥ)
επεξεργασίαX-Ways (Γεωργίου Μαρία)
επεξεργασίαAutopsy (Αντώνης Συνοδινός, Δημήτρης Γελαντζόπουλος)
επεξεργασίαΤο Autopsy είναι μία δωρεάν ψηφιακή πλατφόρμα η οποία έχει αναπτυχθεί με σκοπό την καταστολή του ηλεκτρονικού εγκλήματος. Χωρίζεται σε δυο επιμέρους τμήματα εφαρμογών, το Autopsy και το The Sleuth Kit. Το Autopsy αποτελεί πυρήνα του έτερου τμήματος του προγράμματος και άλλον εργαλείων ψηφιακής ανάλυσης και εξαγωγής δεδομένων αφού είναι ένα περιβάλλον διεπαφής στηριγμένο σε γλώσσα HTML. Το The Sleuth Kit είναι μία συλλογή από εργαλεία η οποία έχει σκοπό την ανάκτηση ψηφιακών αρχείων από σκληρούς δίσκους, κάρτες μνήμης και κάθε άλλου είδους αποθηκευτικό μέσο καθώς και την ανάλυση οποιαδήποτε άλλης ενέργειας που έγινε πάνω σε ένα υπολογιστή. Η πλατφόρμα αυτή χρησιμοποιείται κυρίως από αστυνομικούς, στρατιωτικούς και ειδικούς εξεταστές.
Γνώμονας στη δημιουργία του συγκεκριμένου λογισμικού αποτέλεσαν αυτές οι τρεις βασικές αρχές. Αρχικά, το πρόγραμμα θα πρέπει να είναι επεκτάσιμο έτσι ώστε ο χρήστης να μπορεί να προσθέτει τα κατάλληλα plug-ins με σκοπό το πρόγραμμα να διαμορφώνεται σύμφωνα με τις εκάστωτε ανάγκες του. Επιπλέον, η πλατφόρμα έχει αποθηκευμένα μερικά πρότυπα τα οποία μπορεί να τα καλέσει οποιαδήποτε στιγμή ο χρήστης ώστε να υπάρχει μια αρχική τυπική προσέγγιση στο εκάστωτε πρόβλημα και ο χρήστης να μην ξεκινάει την ανάλυση του από το μηδέν. Τέλος, θα πρέπει το περιβάλλον εργασίας να είναι εύκολο στη χρήση και να μην αποκλείνει πολύ από την αρχική του εμφάνιση όσο ο χρήστης εργάζεται σε αυτό.
Εξαιτίας της ανάγκης για γρήγορα και στοχευμένα αποτελέσματα το Autopsy έχει αναπτύξει εξελιγμένες τεχνικές με τις οποίες τα αποτελέσματα των αναζητήσεων εμφανίζονται στο χρήστη αμέσως μόλις βρεθούν χωρίς να χρειάζεται ο χρήστης να περιμένει έως ότου ολοκληρωθεί πλήρως η διαδικασία αναζήτησης. Ακόμα και αν η πλήρης ολοκλήρωση της διαδικασίας απαιτεί αρκετά λεπτά ακόμα και αρκετές ώρες, ο χρήστης θα έχει από την πρώτη στιγμή στην οθόνη του ένα ικανοποιητήκο δείγμα με αποτελέσματα τα οποία θα υποδεικνύουν αν οι λέξεις κλειδιά βρέθηκαν στον φάκελο.
Ενδεικτικά αξίζει να αναφέρουμε μερικές από τις κύριες επεκτάσεις που χρησιμοποιούνται στο πρόγραμμα.
- Ανάλυση με βάση το χρόνο δημιουργίας, τροποποίησης ακόμα και προσπέλασης του κάθε αρχείου.
- Αναζήτηση με τη χρήση ειδικών όρων.
- Ανάλυση δεδομένων με βάση των τύπο των αρχείων ώστε να μπορούμε να δούμε μεμονωμένα φωτογραφίες, βίντεο, έγγραφα κειμένου κτλ.
- Αναπαραγωγή αρχείων ήχου ή εικόνας χωρίς τη χρήση εξωτερικού μέσου.
Βιβλιογραφία
(1) https://www.sleuthkit.org/autopsy
(2) https://en.wikipedia.org/wiki/Autopsy_(software)
EnCase (Κουρέλας Κωνσταντίνος, Τηγάνης Γιώργος)
επεξεργασίαΤο EnCase είναι μια οικογένεια συσκευών εγκληματολογίας υπολογιστή που αναπτύσσονται από την Guidance Software. Το λογισμικό υπάρχει σε διάφορα προϊόντα σχεδιασμένα για digital forensic, όπως: ασφάλεια στον κυβερνοχώρο, αναλύσεις ασφαλείας και χρήση e-discovery. Επίσης, οι χρήστες μπορούν να δημιουργήσουν ομάδες διαδικασιών για την αυτοματοποίηση εργασιών, πράγμα που βοηθάει πολύ στην διεξαγωγή μιας έρευνας.
Το Encase επιτρέπει στον χρήστη να κάνει σε βάθος ανάλυση των αρχείων για τη συλλογή στοιχείων όπως έγγραφα, εικόνες, ιστορικό διαδικτύου και άλλες πληροφορίες.
Η τεχνολογία EnCase είναι διαθέσιμη σε διάφορα προϊόντα, όπως: EnCase Forensic, EnCase Cybersecurity, EnCase eDiscovery και EnCase Portable. Το λογισμικό περιλαμβάνει επίσης μαθήματα κατάρτισης και πιστοποίησης, πολλά άτομα έχουν ολοκληρώσει την εκπαίδευση μέχρι σήμερα.Εντούτοις, καθώς το Encase Forensic είναι το πρώτο εργαλείο του Guidance και εξακολουθεί να είναι το πιο δημοφιλής προϊόν του, με τη συντριπτική πλειονότητα των αστυνομικών δυνάμεων και των επιχειρήσεων που χρησιμοποιούν το εργαλείο σε όλο τον κόσμο. Τα δεδομένα που ανακτήθηκαν από το EnCase έχουν χρησιμοποιηθεί σε διάφορα δικαστικά συστήματα, όπως στις περιπτώσεις του δολοφόνου BTK και της δολοφονίας της Danielle van Dam. Το Encase έχει εξελιχθεί πολύ από τις πρώτες εκδόσεις του, στις οποίες υπήρξαν πολλά προβλήματα. Στο EnCase 4.18 υπήρξε ένα ελάττωμα με την αναζήτηση λέξεων-κλειδιών, η οποία δεν επέστρεφε όλα τα αποτελέσματα. Άλλες εκδόσεις του EnCase 4 είχαν και άλλα σφάλματα και προβλήματα, τα οποία βρισκόντουσαν σχετικά γρήγορα από την ανακοίνωση της έκδοσης. Το EnCase 5 κυκλοφόρησε και ήταν μια μεγάλη βελτίωση από το EnCase 4, πολλά νέα χαρακτηριστικά, πιο εύκολο να χειριστείς πολλαπλούς δίσκους και θήκες κ.λπ. ωστόσο υπήρχαν ακόμα σφάλματα και προβλήματα. Καθώς ο προσανατολισμός έγινε μεγαλύτερος και πιο "φιλικός", υπήρχε λιγότερη αίσθηση ότι οι πελάτες ήταν οι δοκιμαστές beta.Όλες οι εκδόσεις του EnCase, μέχρι και συμπεριλαμβανομένης της έκδοσης 5, δεν μπόρεσαν να χειριστούν αποτελεσματικά τα μηνύματα ηλεκτρονικού ταχυδρομείου. Όπου ως εργαλεία όπως το DTSearch και το FTK υπήρχαν εδώ και πολλά χρόνια και είχαν καλύτερη ικανότητα ευρετηρίασης που δεν είχε η EnCase. Επίσης και η 6 έκδοση του EnCase δεν έδωσε κάτι νέο στους πελάτες. Τώρα το Encase βρίσκεται στην 8 έκδοση του και οι δημιουργοί του λένε πως χωρίς προβλήματα πλέον είναι χτισμένο με βαθιά την κατανόηση του κύκλου ζωής της ψηφιακής έρευνας και τη σημασία της διατηρώντας την ακεραιότητα των στοιχείων.
Πηγές:
https://www.guidancesoftware.com
https://en.wikipedia.org/wiki/EnCase
http://www.forensicswiki.org/wiki/EnCase#History
USB Write Blocker (ΝΤΑΧΗΛ ΣΑΛΗ,Ιωάννης Πέτρος Μουτσινάς)
επεξεργασίαΤο Write Blocker είναι μια συσκευή USB, περιέχει λογισμικό το οποίο αποτρέπει την εγγραφή δεδομένων στο δίσκο (ή άλλο αποθηκευτικό μέσο).
Είναι σημαντικό σε μια έρευνα για να αποφευχθεί η τροποποίηση των μεταδεδομένων ή των χρονικών σημείων και η ακύρωση των αποδεικτικών στοιχείων.
Οι Write blockers είναι συσκευές που επιτρέπουν την απόκτηση πληροφοριών σε μια μονάδα δίσκου χωρίς να δημιουργείται η πιθανότητα να καταστραφούν τυχαία τα περιεχόμενα της μονάδας. Το κάνουν αυτό επιτρέποντας να περάσουν οι εντολές ανάγνωσης, αλλά μπλοκάροντας τις εντολές εγγραφής, εξ ου και το όνομά τους.
Είναι δύο τρόποι για να δημιουργηθεί αποκλεισμός εγγραφής.
Ο πρώτος τρόπος είναι ο αποκλιστής να επιτρέψει όλες της εντολές να περάσουν από τον υπολογιστή στη μονάδα εκτός από εκείνες που βρίσκονται σε μια συγκεκριμένη λίστα.
Ο δεύτερος τρόπος είναι ο αποκλιστής να μαρκάρει μια συγκεκριμένη ποσότητα εντολών και τα αλλά να τα αφήσει.
Ο καταχωριστής επίσης μπορεί να περιλαμβάνει προστασία κίνησης, αυτή η προστασία κίνησης περιορίζει την ταχύτητα μιας μονάδας δίσκου που είναι προσαρτημένη στο μπλοκ. Οι αναστολείς εγγραφής λογισμικού και υλικού κάνουν την ίδια δουλειά.
Αποτρέπουν την εγγραφή σε συσκευές αποθήκευσης. Η κύρια διαφορά μεταξύ των δύο τύπων είναι ότι οι αναστολείς εγγραφής του λογισμικού εγκαθίστανται σε ένα σταθμό εργασίας για ιατροδικαστές, ενώ οι αναστολείς υλικού κατά γράψιμο έχουν λογισμικό αποκλεισμού εγγραφής εγκατεστημένο σε τσιπ ελεγκτών μέσα σε μια φορητή φυσική συσκευή.
Όπως καθορίζεται από τις προδιαγραφές του λογισμικού Write Block του NIST, ένα εργαλείο μπλοκ εγγραφής λογισμικού λειτουργεί μέσω της παρακολούθησης και του φιλτραρίσματος των εντολών εισόδου / εξόδου δίσκου που αποστέλλονται από μια εφαρμογή ή λειτουργικό σύστημα μέσω μιας δεδομένης διεπαφής πρόσβασης.
Τα προγράμματα που εκτελούνται στο περιβάλλον DOS μπορούν, πέρα από την άμεση πρόσβαση μέσω του ελεγκτή μονάδας δίσκου, να χρησιμοποιούν δύο άλλες διεπαφές: διασύνδεση υπηρεσίας DOS (διακοπή 0x21) ή διεπαφή υπηρεσιών BIOS (διακοπή 0x13).
Ο πρωταρχικός σκοπός ενός μηχανισμού αποκλεισμού εγγραφής υλικού είναι να παρεμποδίζει και να εμποδίζει (ή να αποκλείει) οποιαδήποτε τροποποιητική λειτουργία εντολής από το να φτάσει ποτέ στη συσκευή αποθήκευσης. Ορισμένες από τις λειτουργίες της περιλαμβάνουν την παρακολούθηση και το φιλτράρισμα κάθε δραστηριότητας που μεταδίδεται ή λαμβάνεται μεταξύ των συνδέσεων διεπαφής στον υπολογιστή και τη συσκευή αποθήκευσης.
Οι αποκλειστές εγγραφής υλικού παρέχουν ενσωματωμένες διεπαφές σε έναν αριθμό συσκευών αποθήκευσης και μπορούν να συνδεθούν με άλλους τύπους αποθήκευσης με προσαρμογείς. Οι συσκευές υλικού που γράφουν το μπλοκ παρέχουν επίσης οπτική ένδειξη λειτουργίας μέσω των LED και των διακοπτών. Αυτό τους καθιστά εύκολο στη χρήση και καθιστά τις λειτουργίες σαφείς στους χρήστες
ΠΗΓΕΣ:
- https://en.wikipedia.org/wiki/USB_flash_drive
- http://www.forensicswiki.org/wiki/Write_Blockers
- Link for download: http://sourceforge.net/projects/usbwriteblockerforwindows8/
Bulk extractor (ΤΟΓΡΙΔΗΣ ΑΝΑΣΤΑΣΙΟΣ)
επεξεργασίαΤι είναι το Bulk Extractor
επεξεργασίαΤο Bulk extractor είναι ένα εργαλείο ψηφιακής εγκληματολογιας που μπορεί να χρησιμοποιηθεί για να σαρώνει μια εικόνα δίσκου, ένα αρχείο ή έναν κατάλογο αρχείων εξάγοντας πολυ χρήσιμες πληροφορίες!
Οι πληροφορίες που εξάγει το μπορουν να μπορούν να εχουν διάφορες καταλήξεις οπως
- ccn.txt - για πιστωτικες καρτες
- email.txt - για διευθύνσεις email
- ip.txt - IP διεύθυνσεις
- telephone.txt - αριθμοί τηλέφωνων για Αμερική ή παγκόσμιος
- domain.txt - διεύθυνσεις διαδίκτυου που βρέθηκαν στον δισκο
- url.txt - συνήθως βρίσκονται μεσα σε email ή στην catche μνήμη των browser
Για καθε αρχείο καταλήξεις απο τα παραπάνω μπορούν να δημιουργηθούν δυο ακομα αρχεία
- stopped.txt - λίστες και αντικείμενα που κρίνει το πρόγραμμα οτι δεν χρειάζεται να έχει άμεση πρόσβαση ο χρήστης. Απο το να τα αγνοεί δηλαδή, το πρόγραμμα δημιουργει ενα ξεχωριστο αρχείο.
- histogram.txt - το πρόγραμμα δημιουργει ενα ιστόγραμμα με τις διάφορες ιδιότητες που βρέθηκαν
Διακρίνεται από τα άλλα εγκληματολογικά εργαλεία με την ταχύτητα και την πληρότητα του! Αυτο βασίζεται στο γεγονός οτι αγνοεί το σύστημα αρχείων και την δομή του συστήματος!
Ένα βασικό χαρακτηριστικό είναι ότι μπορεί να επεξεργαστεί διαφορετικά μέρη του δίσκου παράλληλα. Στην πράξη, το πρόγραμμα χωρίζει το δίσκο σε σελίδες 16MByte και επεξεργάζεται μία σελίδα σε κάθε διαθέσιμο πυρήνα. Αυτό σημαίνει ότι τα μηχανήματα 24 πυρήνων επεξεργάζονται ένα δίσκο περίπου 24 φορές ταχύτερα από ένα μηχάνημα ενός πυρήνα.
Ενα ακομα πλεονέκτημα που αγνοεί Το πρόγραμμα μπόρει να χρησιμοποιηθεί για να επεξεργαστούμε σκληρούς δίσκους, SSD, οπτικά μέσα, κάρτες κάμερας, κινητά τηλέφωνα, πακέτων δικτύου και άλλα είδη ψηφιακών πληροφοριών.
Η εφαρμογή ειναι διαθέσιμη για συστήματα Windows και Linux / Unix και η ποιο πρόσφατη έκδοση ειναι η 1.5.5.
Η λήψη του προγράμματος μπορεί να γίνει απο εδω http://digitalcorpora.org/downloads/bulk_extractor/
Πηγή
επεξεργασίαhttp://www.forensicswiki.org/wiki/Bulk_extractor
ntopng (Παύλος Παπαευαγγέλου 4412252 .,Χρήστος Παπαευαγγέλου 4412251)
επεξεργασίαntopng Με τη παροχή της τεχνολογίας μπορούμε να καταγράφουμε τα πάντα από έναν χρήστη ηλεκτρονικού υπολογιστή από τι κάνει στη καθημερινότητα του μέχρι και που βρίσκεται σε πραγματικό χρόνο . Η χρήση του διαδικτύου είναι πολύ χρήσιμη για την δίωξη ηλεκτρονικού εγκλήματος όπου χρησιμοποιούνται τα ανοικτού κώδικα λειτουργικά λόγω χάρη τα linux αλλά και πολλές παραλλαγές αυτού του λογισμικού (dedian-kali linux ) .Αυτό που χρησιμοποιείται για την παρακολούθηση και καταγραφή των δεδομένων ενός ηλεκτρονικού υπολογιστή είναι το ανοικτού κώδικα ntopng (high speed web based traffic analysis and flow connection ).
τι είναι το ntopng:
το ntopng ανήκει στην κατηγορία command line tool ( χρησιμοποιείται μέσω του cmd), είναι ένα πρόγραμμα το οποίο είναι η επόμενη γενιά των αρχικών top προγραμμάτων σε cmd, το οποίο αναλύει τα δεδομένα που αποστέλλονται στο διαδίκτυο αλλά και αναλύει τη χρήση του ίντερνετ αυτού του υπολογιστή που θέλουμε να εξετάσουμε όπως το (wireshark).Το ntopng είναι βασισμένο στη βιβλιοθήκη Libpcap,για τον εξής λόγο , να τρέχει σε πολλά λειτουργικά συστήματα windows , macOS, αλλά είναι προτιμότερο να χρησιμοποιείται Kali linux όπου το συγκεκριμένο λειτουργικό είναι σχεδιασμένο ειδικά για web επιθέσεις
κύρια χαρακτηριστικά του ntopng:
ανάλυση και καταγραφή ip διεύθυνσης, θύρας αλλά και μεγάλων δικτύων aSs real time καταγραφή δεδομένων χωρίς καθυστέρηση και καταγραφή των host καταγραφή της τοποθεσίας των host ,δηλαδή ότι μεταφέρεται από το δίκτυο στον κάθε host καταγράφονται μέσω του ntopng
γιατί ntopng:
Η εγκληματολογική υπηρεσία εχει στα χέρια της αρκετά αξιόλογα προγράμματά να βρει στοιχεία για όποιον δηποτε,αλλα με το ntopng ολα γινονται γρηγορα σε real time και που ανετα καθε μη έμπειρος χρήστης μπορεί να το χρησιμοποιήσει για εκπαίδευση του,Το ntopng δεν χρησιμοποιείτε μέσω cmd όπως οι προκάτοχο του ..αλλά με μέσω προγράμματος,που όλα είναι ευκατανόητα χάρις τη συγγραφή cmd εντολών
χρήση του gntop αυτόνομα συστήματα
υπάρχουν περιπτώσεις όπου η ip του υπολογιστή όπου θέλουμε να εξετάσουμε δεν εμφανίζεται,λόγω απόκρυψης της ip,φυσικά όλες οι ip των υπολογιστών κρύβονται μέσω TCP και SLL protocol αλλά εδώ έχουμε περαιτέρω απόκρυψη της ip από τα μεγάλα σαιτ όπως amazon facebook , και δίκτυα vpn Αυτό που προσπαθούμε είναι να μάθουμε όσο το δυνατόν περισσότερες λεπτομέρειες για τον χρήστη από τι λειτουργικό σύστημα χρησιμοποιεί μέχρι και την τοποθεσία του,αρχικά μπορούμε να δούμε ότι η ip κρύβεται μέσα σε έναν κόμβο NAT (μια διεύθυνση ip για πολλές ip,πχ κομβο που χρησιμοποιεί και το ΤΕΙ Θεσσαλίας),από εκεί και έπειτα πρέπει να ψάξουμε μέσα στον κόμβο αυτό για να βρούμε αυτό τον host που θέλουμε βιβλιογραφία:
https://www.youtube.com/watch?v=uGN6NYFkrh4
https://www.ntop.org/products/traffic-analysis/ntop/
https://www.serverdensity.com/monitor/linux/how-to
LastActivityView (Χριστόφορος Παπαβασιλείου,Γιώργος Δαβάνης)
επεξεργασίαΤο LastActivityView αναπτύχθηκε απο την NirSoft το 2012 και πρόκειται για μια μικρη -περιπου 85ΚΒ- μεταφέρσιμη και απλή forensic εφαρμογή. Διατίθεται δωρεαν για το λειτουργικο συστήμα των Windows από την έκδοση 2000 εως και τα 10 και στα 32-bit αλλα και στα 64-bit συστήματα και τρέχει πολύ απλά χωρίς να χρειάζεται εγκατάσταση ή περαιτερω αρχέια. Ειναι διαθέση σε 22 γλώσσες συμπεριλαμβανομένων και των ελληνικών και έχει πάνω απο 15 updates με τελευταία στις 6 Σεπτεμβρίου του 2017.Η άδεια χρήσης του είναι η Freeware γεγόνος που δίνει την δυνατότητα στους χρήστες του να το διαμοιράζουν ελεύθερα με την προυπόθεση βέβαια να μην υπάρχεί καμία αλλοίωση στα αρχεία του της εφαρμογής καθώς και να μην υπάρχει χρηματικό αντάλλαγμα Αυτή η εφαρμόγη συλλέγει και παρουσίαζει σε ενα log αρχέιο τις δραστηριότητες και τα γεγονότα που έχουν πραγμοτοποιηθεί στον συγκεκριμένο υπολογιστή. Το αρχέιο αυτό μπορεί να περιέχει δραστηριότητες και γεγονότα όπως άνοιγμα φακέλων και αρχειών, συνδέσεις και αποσυνδέσεις σε δικτυά , έναρξη ή τερματισμος συστήματος ακόμα και επαναφορές απο sleeping mode , κρασαρίσματα λογισμικου , εγκατασταση λογισμικου , blue screens , αποσυνδεση ή συνδεση χρήστη , εκτέλεση ΕΧΕ αρχείων , δημιουργία σημείου επαναφοράς , μη ανταποκρίσεις λογισμικού , προβολή φακέλου στην εξερεύνηση , άνοιγμα και αποθήκευση μέσω dialog Box, ξεκίνησε το Windows Installer , έληξε το Windows Installer και άλλα. Ολα αυτα τα παρουσιαζει σε μια λίστα και απλά ο χρήστης μπορει να αποθηκεύσει τον φάκελο με την δραστηριότητα που τον ενδιφέρει να εξετάσει σε διάφορα format όπως csv-delimited,tab-delimited,xml,html,text η ακομα και στο Εxcel. Δύο αρνητικά στοιχεία της εφαρμογής αυτής πρωτον είναι ότι δεν μπορεί ο χρήστης εύκολα να διαγράψει τις πλήροφορίες που εμφανίζονται κάθως για την συλλογή τους χρησιμοποιούνται οι λειτουργίες των Windows που εαν απενεργοποιηθουν θα προκαλέσουν προβλήματα και δεύτερον οτι λόγω του τρόπου με τον οποίο αποθηκέυονται οι δραστηριότητες υπάρχουν περιορισμοί παράδειγμα αν ανοχτούν 6 excel αρχεία μέσω του dialog box μόνο ένα θα αποθηκευτει στο Log άρχειο. Από την άλλη κάποια θετικά στοιχεία ειναι οτι επείδη δεν χρειάζεται εγκατάσταση δίνεται η δυνατότητα στον χρήστη να χρησιμοποιήσει ενα USB stick και να το μεταφέρει σε οποιοδήποτε υπολογιστή επιθυμεί. Επισης ένα άλλο θετικο που παρουσιάζει είναι ότι επιδεικνύει γρήγορους χρόνους ανταπόκρησης καθως και μικρή κατανάλωση μνήμης του CPU. Καταλήγοντας το LastActivityView είναι μια ευκολόχρηστη εφαρμογή με πολύ απλο interface πραγμά που κάνει και τους λιγότερο έμπειρους να μπορουν να το χρησιμοποιησουν. Ενδείκνυται περισσότερο για προσωπικη χρήση παρα για εταιρική
Πηγές http://www.nirsoft.net/utils/computer_activity_view.html
https://www.technibble.com/lastactivityview-create-a-log-of-the-last-actions-made-by-the-user/
https://www.download3k.com/System-Utilities/System-Maintenance/Download-LastActivityView.html
nmap (ΚΟΥΡΕΛΛΟΣ ΒΑΓΓΕΛΗΣ, ΓΟΥΚΟΣ ΙΑΣΩΝ)
επεξεργασίαΤο nmap είναι πρόγραμμα που χρησιμοποιείται για την κατανοήση, την εξερεύνηση και την μελέτη της ασφάλειας ενός δικτύου ή τμήματος αυτού. Είναι πρόγραμμα ανοικτού κώδικα και χρησιμοποιεί συγκεκριμένα την άδεια χρήσης GPLv2, και υποστηρίζεται πλέον από μεγάλο τμήμα της κοινότητας λογισμικού ανοικτού κώδικα, από την οποία του προστέθηκαν κατά τα χρόνια νέες δυνατότητες, με την ανάπτηξή του να ξεκινάει το 1997 από τον Gordon Lyon, ενώ στο παρελθόν έχει βραβευθεί με το Linux Journal Editor's Choice Award for Best Security Tool. Παρόλο που το nmap δεν περιλαμβάνει το ίδιο γραφικό περιβάλλον, ο χρήστης έχει την ελευθερία να εγκαταστήσει και να χρησιμοποιήσει ένα, όπως το Zenmap GUI. Είναι διαθέσιμο για πληθώρα λειτουργικών συστημάτων, όπως διανομές Linux, για τα Windows και για λειτουργικά συστήματα BSD.
Λόγω των πολλών δυνατοτήτων που παρέχει το nmap σε όποιον το χρησιμοποιεί, δημιουργείται ηθικό ζήτημα, καθώς υπάρχει η περίπτωση να χρησιμοποιηθεί και από κακόβουλους χρήστες, και όχι μόνο από τους διαχειριστές του κάθε δικτύου. Επιπλεόν, είναι παράνομη σε ορισμένες περιπτώσεις η προσπάθεια εύρεσης θυρών ενός δικτύου.
Το nmap λειτουργεί στέλνοντας συγκεκριμένης μορφής πακέτα στη διεύθυνση επιλογής του χρήστη και, αναλύοντας τις απαντήσεις που λαμβάνει ως προς αυτά, παρουσιάζει μορφοποιημένες τις πληροφορίες που λαμβάνει. Μερικές από τις λειτουργίες του nmap είναι:
- η εύρεση του τύπου μιας συσκευής στο δίκτυο, όπως για παράδειγμα router
- το χρονικό διάστημα που βρίσκεται, κατά προσέγγιση, μια συσκευή συνδεμένη στο δίκτυο
- πληροφορίες για το λειτουργικό σύστημα που χρησιμοποιεί μια συσκευή και πόσες συσκευές διαμεσολαβούν μεταξύ του υπολογιστή που χρησιμοποιεί το nmap και της συσκευής για την οποία ζητήθηκαν πληροφορίες
Οι λειτουργίες αυτές, καθώς και άλλες που παρέχει το nmap, μπορούν να ολοκληρώσουν εργασίες όπως η χαρτογράφηση του δικτύου, η εύρεση ανοικτών θυρών και η μελέτη του τοίχους προστασίας του δικτύου, και γενικότερα μπορούν να βοηθήσουν στην άντληση γνώσης που θα βοηθήσει έναν διαχειριστή δικτύου να αυξήσει την ασφάλεια του δικτύου πάνω στο οποίο εργάζεται. Η χρήση έτοιμων εντολών σε αρχείο κειμένου (scripts) και η επιλογή του τρόπου παρουσίασης των πληροφοριών που παρέχει το nmap μετά την ανάλυση κάνει ακόμη πιο εύκολη και αυτοματοποιημένη τη χρήση του.
Η χρήση nmap, ως δημοφιλές πρόγραμμα ασφάλειας, είναι αρκετά διαδεδομένη στην ακαδημαϊκή κοινότητα. Τέλος, το nmap έχει εντοπιστεί σε σκηνές ταινιών του κινηματογράφου.
Πηγές:
Paraben's E3:P2C (ΒΑΣΙΛΕΙΑΔΗΣ ΝΙΚΟΛΑΟΣ, ΒΑΣΙΛΟΠΟΥΛΟΣ ΠΑΣΧΑΛΗΣ)
επεξεργασίαΕισαγωγή
επεξεργασίαΤο E3:P2C είναι ένα εργαλείο/σουίτα λογισμικού ψηφιακής εγκληματολογίας το οποίο αναπτύχθηκε από την Paraben ενσωματώνοντας ανά τα χρόνια όλο και περισσότερα εργαλεία. Έχοντας πάνω από 10 χρόνια χρήσης από εξεταστές ψηφιακών πειστηρίων είναι ένα σημαντικό εργαλείο που, βοηθάει στην απλοποίηση της εξέτασης ψηφιακών πειστηρίων χάρη στο εύκολο στην χρήση του User Interface και την μεγάλη γκάμα εργαλείων που διαθέτει.Με κάθε άδεια χρήσης του P2C συμπεριλαμβάνεται η άδεια για P2 eXplorer Pro και DP2C.
Περιγραφή
επεξεργασίαΤο E3:P2C υποστηρίζει την ανάλυση των πιο γνωστών disk image format των δίσκων με γνωστά συστήματα αρχείων, όπως NTFS, FAT, HFS, EXT. Συγκεκριμένα, ο εξεταστής προσθέτει το δίσκο σε μορφή αρχείου και αυτό του επιτρέπει τη σε βάθος ανάλυση του περιεχομένου, ακόμη και αυτού που έχει διαγραφεί. Υποστηρίζει, επίσης, πολλά formats αποθηκών διαδικτυακών μηνυμάτων, όπως βάσεις δεδομένων της America on-line, του Outlook Express, Microsoft Outlook kai [Google Takeout https://en.wikipedia.org/wiki/Google_Takeout]. Μέσω του E3:P2C επιτυγχάνεται η ανάλυση από live disk drives, ξεχωριστά αρχεία και CDs/DVDs χωρίς να αλλοιώνονται τα υπό επεξεργασία δεδομένα. Άλλη μία λειτουργία του εν λόγω εργαλείου είναι η εμφάνιση των Alternate Data Streams, κάτι το οποίο δεν γίνεται εύκολα με παραδοσιακές μεθόδους, όπως file explorers και command prompt(χωρίς την χρήση ειδικών εντολών). Ο εξεταστής έχει επίσης τη δυνατότητα πρόσβασης στα ακόλουθα δεδομένα της κονσόλας Xbox 360 και Xbox One: drive image, FATX partition image, STFS partition image, XDBF databases.Ένα ακόμα αξιοσημείωτο χαρακτηριστικό του P2C είναι η συμβολή του στην ανίχνευση πορνογραφικού υλικού. Ειδικότερα, αυτό επιτυγχάνεται μέσω ενός αναλυτή εικόνων που χρησιμοποιεί 11 διαφορετικούς αλγορίθμους για να καθοριστεί αν η υπό εξέταση εικόνα είναι πορνογραφική, αφού πρώτα κατηγοριοποιήσει τις εικόνες βάσει της πιθανότητας τους να αποτελούν μέρος πορνογραφικού υλικού.Επιπλέον, το εν λόγω εργαλείο υποστηρίζει την ανίχνευση κακόβουλου λογισμικού μέσω της σάρωσης αρχείων τα οποία είναι πιθανόν να αποτελούν απειλή, ενώ παράλληλα, χρησιμοποιεί το χαρακτηριστικό Optical Character Recognition (OCP), που επιτρέπει την εξαγωγή δεδομένων γραπτού κειμένου μέσα από σχηματικά αρχεία (εικόνες). Tέλος, κατά τη διαλογή στοιχείων υπολογίζονται δύο είδη τιμών hash: SHA-1, SHA-256 και MD5. Αναλυτικότερα, μέσα στην βάση δεδομένων κωδικών hash , τα hashes μπορούν να ομαδοποιηθούν ώστε να χρησιμοποιηθούν είτε για την ταξινόμηση με άλλα γνωστά hashes, είτε για την εύρεση αρχείων βασιζόμενη σε κάποια τιμή hash. Η κατηγοριοποίηση σε μία από τις δύο αυτές ομάδες γίνεται με τη σύγκριση του εκτιμώμενου MD5 με το MD5 που βρίσκεται στη βάση δεδομένων hash. Τα αποτελέσματα της εν λόγω σύγκρισης μπορεί να δει ο εξεταστής στο Sorted Files viewer με την ένδειξη ενός συνδέσμου-εικονιδίου.
Βιβλιογραφία
επεξεργασία
Mandiant RedLine (ΓΕΩΡΓΙΟΣ ΚΟΥΣΚΟΥΡΑΣ, ΕΥΑΓΓΕΛΟΣ ΠΑΠΑΔΗΜΗΤΡΙΟΥ)
επεξεργασίαWindows To Go (Καραμπόγιας Γιάννης, Σάλτας Αλέξανδρος)
επεξεργασίαΤο Windows To Go είναι ένα χαρακτηριστικό το οποίο μας επιτρέπει να εκκινήσουμε και να τρέξουμε από ορισμένες συσκευές αποθήκευσης USB, και εξωτερικούς σκληρούς δίσκους ένα πλήρως διαχειρίσιμο περιβάλλον των Windows.Οι υπολογιστές που πληρούν τις απαιτήσεις πιστοποίησης των Windows 7 ή επόμενων εκδόσεων έχουν την δυνατότητα να εκτελέσουν για παράδειγμα τα Windows 10 ανεξάρτητα από το λειτουργικό σύστημα που εκτελείται σε κάθε υπολογιστή. Ο κύριος σκοπός του είναι να δώσει την δυνατότητα στους ανθρώπους που διαχειρίζουν επιχειρήσεις να παρέχουν μια απεικονισμένη έκδοση των windows που να αντικατοπτρίζει την εταιρική επιφάνεια εργασίας.
Επιπλέον, θα πρέπει να αναφερθούμε στο γεγονός ότι το Windows To Go υπάρχει και υποστηρίζεται επίσημα μόνο στις εκδόσεις των Windows 8/8.1 enterprise και των Windows 10 Enterprise/Education. Η Microsoft δεν παρέχει υποστήριξη για αυτή την λειτουργία σε υπολογιστές όπως Mac, εάν και ειναι δυνατή η εκκίνηση τους. Επομένως εάν γίνει η εγκατάσταση τους με διάφορους ανεπίσημους τρόπους, οι χρήστες θα έχουν ορισμένους περιορισμούς,, όπως για παράδειγμα τη μη διαθεσιμότητα της προστασίας Bitlocker, την αδυναμία εκκίνησης των BIOS αλλά και την πρόσβαση στο Windows Store.
Το Windows to go σε σχέση με την τυπική εγκατάσταση των windows έχουν ορισμένες βασικές διαφορές μεταξύ τους. Αρχικά, για μέτρο ασφάλειας έτσι ώστε να μην υπάρξει απώλεια δεδομένων, σε περίπτωση που αφαιρεθεί το μέσο αποθήκευσης από των υπολογιστή, τα windows θέτουν σε παύση ολόκληρο το σύστημα, και σε χρονικό διάστημα εντός 60 δευτερολέπτων από την αφαίρεσή του εάν δεν ξανατοποθετηθεί, ο υπολογιστής τερματίζει αυτόματα. Επιπλέον, με την πρώτη εγκατάσταση του, στον υπολογιστή εγκαθιστάται και ένα πρόγραμμα που λειτουργεί ως οδηγός με σκοπό να μπορεί ο χρήστης να κατανοήσει και να αξιοποιήσει της δυνατότητες των Windows. Όσο αναφορά την άδεια χρήσης του Windows to go, η Microsoft Software Assurance, αναφέρει ότι υπάρχει η δυνατότητα χρήσης του χαρακτηριστικού σε οποιονδήποτε υπολογιστή ο οποίος έχει την άδεια Software Assurance. To software Assurance είναι ένα πρόγραμμα χορήγησης πολλαπλών αδειών που περιλαμβάνει ένα εκτεταμένο σύνολο τεχνολογιών, υπηρεσιών, δικαιωμάτων που απευθύνεται περισσότερο στις επιχειρήσεις.
Βιβλιογραφία:
https://en.m.wikipedia.org/wiki/Windows_To_Go
https://docs.microsoft.com/en-us/windows/deployment/planning/windows-to-go-overview#wtg-hardware
Forensic Toolkit(FTK) (Γούλας Παναγιώτης, Κωτσιόπουλος Νικόλαος)
επεξεργασίαΤο Forensic Toolkit (FTK) είναι ένα πρόγραμμα, χρήση του οποίου είναι να αναλύουμε σκληρούς δίσκους, ηλεκτρονικούς υπολογιστές ακοόμη και κινητά τηλεφώνα. Λειτουργεί συλλέγοντας αποδεικτικά στοιχεία απευθείας από τις σκηνές που διεπράχθη ηλεκτρονικό έγκλημα αλλά και μεσώ διαδικτύου μεσώ ενός κέντρου ανάλυσης διαδικτύου και ηλεκτρονικού εγκλήματος. Το πρόγραμμα είναι ειδικά σχεδιασμένο με τέτοιο τρόπο ώστε να επιτρέπεται η διαχείριση πολλών δεδομένων ευκολότερα και γρηγορότερα σε σύγκριση με άλλα παρόμοια προγράμματα. Επιπλέον εμπεριέχει εφαρμογές (σπάσιμο κωδίκων/ταυτοποίηση cookies) που συνδράμουν στην ανάκτηση κωδικών από τυχόν κλειδωμένα αρχεία αλλά και άλλων λογαριασμών που χρησιμοποίησε ο δράστης στο διαδίκτυο. Επίσης, προϋποθέτοντας ότι υπάρχει η κάλυψη διαθέσιμων διαδικτυακών πόρων δίνεται η δυνατότητα χρήσης κατανεμημένων διαδικτυακών επιθέσεων στην προσπάθεια ανάκτησης κωδικών χρησιμοποιώντας μεθόδους όπως brute forcing και dictionary attacks.
Διαδικασία
Το πρόγραμμα ακολουθεί μια συγκεκριμένη διαδικασία για την έρευνα των ψηφιακών αποδεικτικών στοιχείων και είναι η εξής:
- Ανάκτηση Δεδομένων: Το πρώτο βήμα αποτελείται από την απόκτηση σχετικών δεδομένων από την σκηνή του ηλεκτρονικού εγκλήματος και στη συνέχεια την ασφάλιση τους. Στην τελική φάση δημιουργείται ένα αντίγραφο που περιέχει αυτά τα στοιχειά (Image backup).
- Ανάλυση: Στο δεύτερο βήμα το πρόγραμμα επιτρέπει στον χρήστη το άνοιγμα ενός case file. Με τη χρήση κατάλληλων εργαλείων γίνεται σωστή διερεύνηση των αποκτηθέντων αποδεικτικών στοιχείων από την σκηνή εγκλήματος και παράλληλα όλες οι λεπτομέρειες της συγκεκριμένης υπόθεσης θα αποθηκεύονται.
- Παρουσίαση: Στο τελευταίο βήμα μπορεί ο χρήστης να δημιουργήσει ένα case report στο οποίο περιλαμβάνονται όλα τα αποτελέσματα της έρευνας.
Αποκρυπτογράφηση Αρχείων και Κωδικών
Ένα από τα πιο σημαντικά κομμάτια που διαθέτει το Forensic toolkit είναι η ικανότητα του να αποκρυπτογραφήσει αρχεία και κωδικούς πρόσβασης. Χρησιμοποιώντας αρκετές μεθόδους αποκρυπτογράφησης στα κλειδωμένα αρχεία, με την εύρεση των κωδικών θα δημιουργηθεί μια λίστα στην οποία θα εμπεριέχονται όλα τα ευρήματα του αναλυτή και είναι διαθέσιμα για δοκιμή και στα υπόλοιπα κλειδωμένα αρχεία στη περίπτωση που ο ύποπτος χρησιμοποίησε το ίδιο κλειδί για πολλαπλά κλειδώματα. Παρουσιάζονται παρακάτω μερικά από τα αρχεία για τα οποία υπάρχουν υποδομές και δίνοντας τους κατάλληλους πόρους μπορούν να ξεκλειδωθούν είναι:
- OpenOffice
- ZIP
- iOS backup files
- Apple DMG
- StuffIt
- Rar
- PGP password file
- 7-Zip
- WinZip adv.encryption
- BestCrypt
- TrueCrypt
Διαχείριση υποθέσεων και αποδεικτικών
Το πρόγραμμα επιτρέπει στο χρήστη να διαχειρίζεται τις υποθέσεις του. Για τα αποδεικτικά στοιχεία που συλλέχθηκαν είναι σημαντικό πριν αρχίσει η διαδικασία της ερεύνησης των στοιχείων είναι να επαληθευθεί η ακεραιότητα των δεδομένων κατά τη μετακίνηση τους. Η διαδικασία επαλήθευσης περιλαμβάνει δύο,0 συναρτήσεις κατατεμαχισμού (hashes), η πρώτη προέρχεται από την σκηνή που διεξήχθη το έγκλημα και η δεύτερη από την "εικόνα" (image) που δημιουργήσαμε για να επεξεργαστούμε τα δεδομένα της υπόθεσης. Αν τα δυο hashes ταυτίζονται, τότε αυτό σημαίνει ότι δεν αλλοιώθηκαν, κατά την μεταφορά στο εργαστήριο, τα δεδομένα ή π.χ. κατά την διαδικασία δημιουργίας της "εικόνας" ή ακόμα και επίτηδες. Επομένως, κάνοντας "mount" το image που πήραμε από τον σκληρό δίσκο από την σκηνή του ηλεκτρονικού εγκλήματος, μπορούμε να επεξεργαστούμε τα δεδομένα και να αναλύσουμε τα περιεχόμενα συλλέγοντας τα αποδεικτικά στοιχεία που χρειαζόμαστε για να τα παρουσιάσουμε οπού μας ζητηθεί. Μέσα σε όλες αυτές τις επιλογές που μας προσφέρει το λογισμικό είναι να έχουμε τη δυνατότητα να ανοίξουμε το δίσκο ώστε να ερευνήσουμε τα περιεχόμενα, να κάνουμε "mount" πολλαπλούς σκληρούς δίσκους την ίδια στιγμή, να αντιγράψουμε αρχεία που βρίσκονται μέσα στον σκληρό δίσκο που χρησιμοποιούμε ως "εικόνα" σε διαφορετική τοποθεσία κ.α.
Πηγές
Registry Recon (Γιάννης Εγγονίδης (4416001), Θοδωρής Ίτσιος (4416081))
επεξεργασίαΓενική Αναφορά
Το λογισμικό Registry Recon ανήκει στην κατηγορία των εργαλείων της επιστήμης των υπολογιστών, τα οποία αφορούν το ηλεκτρονικό έγκλημα. Το πρόγραμμα αυτό, δίνει την δυνατότητα στο χρήστη να παρακολουθεί το ιστορικό των μεταβολών που έχουν συμβεί στον υπολογιστή του, ενώ έχει εγκατεστημένο το λειτουργικό σύστημα Windows. Το Registry Recon, αρχικά διαβάζει και έπειτα εξάγει πληροφορίες του συστήματος οι οποίες πιθανώς να αποτελούν πειστήρια για ένα ορισμένο έγκλημα. Σε αυτά τα πειστήρια μπορεί να ανήκουν πληροφορίες όπως, αρχεία τα οποία να έχουν σβηστεί, είτε έχουν διασωθεί μέσω αντιγράφου ασφαλείας, είτε έχουν κρυπτογραφηθεί. Το πρόγραμμα, λοιπόν, χρησιμοποιώντας τις πληροφορίες που άντλησε από το Windows Registry (μία βάση δεδομένων που αποθηκεύει σχεδόν οποιαδήποτε μεταβολή του συστήματος), εμφανίζει αναλυτικά τα δεδομένα σε δομημένη μορφή, ευκόλως αναγνώσιμη. Το λογισμικό αναπτύχθηκε από την Arsenal Recon τον Οκτώβριο του 2012.
Windows Registry
Το Windows Registry χρησιμοποιείται από το λειτουργικό σύστημα των Windows, για να αποθηκεύει πληροφορίες και δεδομένα για λογισμικά τα οποία εκτελούνται στον υπολογιστή, καθώς και για το υλικό από το οποίο αποτελείται το σύστημα. Στο σύστημά μας, το windows registry, υπάρχει υπό την μορφή μίας βάσης δεδομένων, όπου μας δίνεται η δυνατότητα να αναζητήσουμε πληροφορίες, παρέχοντας ως κλειδί αναζήτησης τα ελάχιστα δεδομένα τα οποία μπορεί να έχουμε στην κατοχή μας, μέσω προγραμμάτων όπως το Registry Recon τα οποία αξιοποιούν στο έπακρο τις πληροφορίες που βρίσκονται εντός του Windows Registry. Με αυτόν τον τρόπο επιτυγχάνεται, η ανάκτηση πληροφοριών οι οποίες μπορούν να οδηγήσουν στην εξάρθρωση μίας παράνομης ενέργειας, που είχε λάβει χώρα μέσω του ηλεκτρονικού υπολογιστή και δεν θα ήταν εφικτός ο εντοπισμός της με άλλον τρόπο.
Δυνατότητες Λογισμικού
Το Registry Recon αναλυτικά δίνει τη δυνατότητα στο χρήστη να:
- Αναζητήσει δεδομένα σε μία ορισμένη χρονική στιγμή, τα οποία είχαν αλληλεπιδράσει με το σύστημα.
- Διαγράψει δεδομένα που δεν αποτελούν σημαντικά στοιχεία για μία έρευνα.
- Εξάγει δεδομένα και να προσομοιώσει την κατάσταση του υπολογιστή σε μία χρονική στιγμή.
- Εξάγει πληροφορίες σχετικά με κάποια δεδομένα τα οποία έχουν σβηστεί με στόχο την κάλυψη ενός εγκλήματος.
- Αποκρυπτογραφήσει πληροφορίες ή διαστρεβλωμένα δεδομένα τα οποία είχαν σκοπό να αποκρύψουν κάποιο έγκλημα.
Βιβλιογραφία
https://en.wikipedia.org/wiki/Registry_Recon
https://www.lifewire.com/windows-registry-2625992
https://arsenalrecon.com/weapons/recon/
https://lifehacker.com/5482701/whats-the-registry-should-i-clean-it-and-whats-the-point
Open Computer Forensics Architecture (Λιβισιανός Μιχαήλ, Σκουφάς Γιώργος)
επεξεργασίαCD/DVD Inspector (Καραθανάσης Αθανάσιος 4416196, Καρτσαμπάς Διονύσιος 4416205)
επεξεργασίαLiME (Θοδωρής Μορέλλας, Μιχάλης Κακίας)
επεξεργασίαΕΙΣΑΓΩΓΗ ΠΑΝΩ ΣΤΟ LiME
To LiME ή αλλιώς (Linux Memory Extraxtor) είναι είναι ένα εργαλείο που δημιούργησε ο JOE SYLVE το 2012 με σκοπό την καταγραφή όλων τα αντίγραφων φυσικής μνήμης για εγκληματολογική ανάλυση ή την έρευνα για λόγους ασφάλειας για συσκευές των οποίων το λειτουργικό σύστημα που “τρέχουν” είναι βασισμένο στον πυρήνα του Linux, όπως οι συσκευές που χρησιμοποιούν android. Πιο συγκεκριμένα καταγράφει τις τρέχουσες εφαρμογές που είναι ο χρήστης εκείνη τη στιγμή συνδεδεμένος καθώς επίσης και τις εφαρμογές που τις έχει κλείσει ή τερματίσει. Η ανάλυση της μνήμης περιέχει σημαντικές πληροφορίες οι οποίες δε μπορούν να ανακτηθούν.
ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΟΥ LiME
• Πλήρης απόκτηση μνήμης Android
• Απόκτηση μέσω επαφής δικτύου
• Ελάχιστο αποτύπωμα διεργασίας
ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΔΥΝΑΤΟΤΗΤΕΣ ΤΟΥ LiME
Το LiΜΕ είναι μια μονάδα ενός φορτωτή πυρήνα, η οποία για την άμεση λειτουργία του και τη χρήση του χρειάζεται να έχει σχεδιαστεί ειδικά, έτσι ώστε να δουλέψει αρμονικά στην έκδοση του πυρήνα που εκτελεί η συσκευή . Η βασική δυνατότητα του LiME είναι να φτιάχνει αντίγραφα από τα περιεχόμενα της μνήμης RAM ενώ ο υπολογιστής ή η συσκευή είναι ακόμα σε λειτουργία χωρίς να έχει προηγηθεί επανεκκίνηση ή τερματισμός, ενώ ταυτόχρονα φροντίζει να μην επηρεάζει την σταθερότητα του συστήματος. Το LiMΕ μπορεί να δημιουργήσει ένα αντίγραφο της μνήμης τοπικά στον χώρο αποθήκευσης της συσκευής καθώς επίσης προσφέρει τη δυνατότητα μεταφοράς αντίγραφου απευθείας μέσω δικτύου κάνοντας χρήση του πρωτοκόλλου TCP σε συγκεκριμένο port που έχει προκαθοριστεί από τον χρήστη, κάνοντας δρομολόγηση της κίνησης προς τον υπολογιστή του. Η μέθοδος μεταφοράς μέσω δικτύου συνίσταται διότι στην περίπτωση τοπικής αποθήκευσης υπάρχει σοβαρό ενδεχόμενο απαλοιφής δεδομένων του αποθηκευτικού χώρου της συσκευής, με αποτέλεσμα να μην είναι δυνατή η ανίχνευση τους σε μεταγενέστερο στάδιο της έρευνας. Το LiME υπερέχει έναντι άλλων εφαρμογών που υπήρχαν μέχρι του παρόντος καθώς μπορεί να αντιγράψει το σύνολο των δεδομένων που είναι φορτωμένα στη μνήμη της συσκευής σε αντίθεση με άλλα παρόμοια εργαλεία που διαβάζουν μία συγκεκριμένη γκάμα διευθύνσεων. Τέλος, ο Joe Slyve σε συνέντευξη που έδωσε στο linux.com, πρότεινε τη δημιουργία μιας κοινότητας χρηστών, η οποία θα προσπαθήσει να πραγματώσει τη συγκέντρωση του LiME σε όσο το δυνατόν περισσότερες εκδόσεις του πυρήνα, έχοντας ως αποτέλεσμα οι ερευνητές να έχουν πρόσβαση σε μια βιβλιοθήκη προκατασκευασμένων τμημάτων (modules), για τις εκδόσεις του πυρήνα που εκτελούνται στις πιο συνηθισμένες συσκευές. Αξίζει να σημειωθεί πως το LiME διατίθεται δωρεάν και λειτουργεί βασισμένο σε άδεια χρήσης ελεύθερου λογισμικού και συγκεκριμένα στην GNU General Puplic License.
Βιβλιογραφία:
https://www.xda-developers.com/lime-forensics-kernel-module-for-raw-memory-snapshots/
https://github.com/504ensicsLabs/LiME/tree/master/doc
https://www.linux.com/learn/physical-memory-analysis-lime-linux-memory-extractor
PlainSight (Καλέσης Βύρωνας)
επεξεργασίαΕισαγωγή
Το PlainSight[1] είναι ένα λογισμικό ψηφιακής εγκληματολογίας[2] που πρόκειται για ένα πολυχρηστικό περιβάλλον και λειτουργικό σύστημα Linux, διανομής Knoppix[3] μα βασισμένη σε CD, που επιτρέπει μη-έμπειρους επαγγελματίες της εγκληματολογίας να εκτελούν κοινές εργασίες χρησιμοποιώντας ισχυρά εργαλεία ελεύθερου λογισμικού. Ουσιαστικά για να δημιουργηθεί ένα εξαιρετικά δυνατό περιβάλλον λογισμικού ψηφιακής εγκληματολογίας, που τελικά πραγματοποιήθηκε, οι υπεύθυνοι έλαβαν τα καλύτερα εγκληματολογικά ή ασφαλείας εργαλεία ελεύθερου λογισμικού τα προσαρμόσανε και τα συνδυάσανε μαζί με ένα εφευρετικό τρόπο διεπαφής χρήστη. Το PlainSight χρειάζεται να εκκινηθεί απο CD ώστε χρησιμοποιηθεί.
Χρήσεις
Με το PlainSight μπορεί κάποιος να υλοποιήσει στις ακόλουθες λειτουργίες όπως:
1. Απόκτηση πληροφοριών σκληρού δίσκου και διαμελισμού
2. Να εξάγει πληροφορίες χρήστη και ομάδων χρηστών
3. Να δει το ιστορικά διαδικτύων
4. Εξέταση διαμόρφωσης τείχους προστασίας των Windows
5. Να ανακαλύψει πρόσφατα ντοκουμέντα
6. Να ανακτήσει/λαξεύσει πάνω απο 15 διαφορετικών τύπων αρχείων
7. Αποκάλυψη πληροφοριών του αποθηκευτικού χώρου ενός USB
8. Να εξετάσει dumps φυσικής μνήμης
9. Εξέταση πληροφοριών UserAssist[4]
10. Εξαγωγή κατακερματισμών κωδικών LaMan
11. Προεπισκόπηση ένας συστήματος πριν την απόκτηση
Βιβλιογραφία
http://www.plainsight.info/index.html
https://en.wikipedia.org/wiki/List_of_digital_forensics_tools
https://en.wikipedia.org/wiki/Knoppix
http://forensicartifacts.com/2010/07/userassist/
XRY (KEΡΑΜΑΣ ΙΩΑΝΝΗΣ,ΓΚΑΡΜΠΟΥΝΗΣ ΘΩΜΑΣ)
επεξεργασίαΠλέον το κινητό αποτελεί για τον άνθρωπο ένα αναπόσπαστο μέρος της καθημερινοτητας του.Μοιραία ο τρέχον αριθμός κινητών συσκευών ξεπέρασε τα 7 δισεκατομυρια,εύλογα υπήρξε και μεγάλη αύξηση στην χρησιμοποιηση των εφαρμογών των κινητών . Παράλληλα δημιουργηθηκε η ανάγκη για λογισμικό ψηφιακής εγκληματολογιας με απώτερο σκοπό την χρησιποποιηση του για την επιβολή των νόμων.Ένα τέτοιο εργαλείο ψηφιακής εκγληματολογιας είναι το XRY με σχεδίαση αποκλείστηκα για κινητά τηλεφωνά . Επιπροσθέτως δημιουργηθηκε από μια Σουηδική εταιρία με όνομα Micro Systemation με σκοπό την ανάλυση και ανάκτηση δεδομένων και πληροφοριών από κινητά τηλεφωνά, συσκευές πλοήγησης και tablets.Το πακέτο του XRY παρέχει μια συσκευή που συνδέει το κινητό με τον ηλεκτρονικό υπολογιστή το οποίο συγκεκριμένα περιεχέι ενα USB reader για κάρτα SIM ,μια συσκευή αντιγραφής κάρτας SΙΜ ,μερικά καλώδια και ένα USB reader για κάρτα αποθήκευσης μνήμης.Το XRY έχει την δυνατότητα να αποκτήσει πληροφορίες για τηλεφωνική λίστα,ανταλλαγή μηνυμάτων και μητρώο κλήσεων.Επιπλέον παρέχει στο χρήστη την ικανότητα της επαναποκτησης αρχείων media όπως (εικόνα,ήχο,βίντεο).Παράλληλα μεγάλο επίτευγμα της εφαρμογής αποτελεί επαναφορά στην κατοχή του χρήστη πληροφοριων όπως η διεθνή ταυτότητα συνδρομητή κινητής τηλεφωνίας και την επανάκτηση πληροφοριών σε σχέση με τον ηλεκτρονικό σειριακό αριθμό της τελευταία αναβάθμιση του λογισμικού ΧRY αποτελείται απo την δυνατότητα που δίνει στο χρήστη το λογισμικό με σκοπό την ανάκτηση δεδομένων από εφαρμογές των smartphones όπως Messenger,Instagram,Facebook.Στο τέλος η συσκευή παράγει ενα κρυπτογραφημενο αρχείο με όλες την πληροφορίες που σύλλεξε.Το ΧRY είναι ευρέως γνωστό στο χώρο της ψηφιακής εγκληματολογικης ερευνάς και παράλληλα χρησιμοποιειται σε μεγάλο ποσοστό απο σε νομικές,στρατιωτικές και μυστικές υπηρεσίες.Μια αρκετά πρόσφατη χρήση του λογισμικού έγινε στην δίκη του παραολυμπινικη Οscar Pistorius που χρησιμοποιηθηκαν μηνύματα που ανακτήθηκαν απο την συσκευή του. Επιπλέον η εκγληματολογικη εξέταση κινητών τηλεφώνων είναι αρκετά πιο περίπλοκη σε σχέση με την εξέταση ενός ηλεκτρονικού υπολογιστή λόγου των πολλών διαφορετικών λογισμικών που υπάρχουν στις κινητές συσκευές παράλληλα το λογισμικό XRY περνά συνεχώς πολλές αναβαθμίσεις λογισμικού για να μπορεί να καλύψει της απαιτήσεις που δημιουργουνται απο την συνεχή εξέλιξη στα κινητά τηλεφωνά.Το λογισμικό ΧRY διαθέτει δυο ειδών εξετάσεις της κινητής συσκευής .Μια είναι η λογική εξέταση κατά την οποία υπάρχει σύνδεση με το λειτουργικό της κινητής συσκευής και καλύπτει το μεγαλύτερο μέρος των κινητων.Αλλα υπάρχει και η φυσική η οποία αφήνει στην άκρη το λογισμικό κατεβάζοντας την διαθέσιμη μνήμη η οποία φέρνει το χρήστη σε επανάκτηση ακόμα και διεγραμενων δεδομένων. Τελος λόγου αυτής της πολυπλοκοτητας του λογισμικού χρειάζεται ιδιαίτερη εκπαίδευση για την χρήση του ΧRY.
The Sleuth Kit ( ΑΝΔΡΟΝΙΚΙΔΗΣ ΓΙΩΡΓΟΣ, ΜΑΤΘΑΙΟΣ ΒΛΑΣΤΟΣ )
επεξεργασίαΤο The Sleuth Kit είναι ένα πρόγραμμα ψηφιακής εγκληματολογίας με developer τον Brian Carrier. Το πρόγραμμα μπορεί να αναλύσει ηλεκτρονικούς υπολογιστές που χρησιμοποιούν είτε Windows είτε Unix αλλά και αρκετούς υπολογιστές που διαθέτουν Macintosh λειτουργικό σύστημα και χρησιμοποιεί τις λειτουργίες αυτών των λειτουργικών για την εγκληματολογική ανάλυση των συστημάτων.
Το λογισμικό έχει την δυνατότητα να αναλύσει ξεχωριστά και να ανακτήσει ψηφειακά αρχεία από εξοπλισμό αποθύκευσης ( HDD, SSD, SD, cloud, κλπ) με μορφή του τύπου Expert Witness, AFF, NTFS, FAT / ExFAT, UFS 1/2, Ext2, Ext3, Ext4, HFS, ISO 9660 και YAFFS2. Το πρόγραμμα μπορεί να χρησιμοποιηθεί είτε μέσω της γραμμής εντολών, μπορεί όμως να ενσωματωθεί και σε άλλα ψηφιακά λογισμικά εγκληματολογίας όπως το Autospy και το log2timeline tool.
Autospy
επεξεργασίαΤο Autospy, είναι μία δωρεάν εφαρμογή επίσης που συνδυάζει τις λειτουργίες του με τις λειτουργίες του The Sleuth Kit για να αποτρέψει τα ηλεκτρονικά εγκλήματα. Στο πρόγραμμα ο χρήστης μπορεί να προσθέσει και επιπλέον plug ins ώστε να φέρει το λογισμικό στα δικά του μέτρα.
log2timeline/plaso
επεξεργασίαΌσον αφορά το log2timeline tool αποτελεί προέκταση του plaso και χρησιμοποιείται για την δημιουργία ενός χρονοδιαγράμματος. Αφού πρώτα αναλύσει τα αρχεία ενός υπολογιστή μπορεί να δημιουργήσει ένα χρονοδιάγραμμα με βάση το πότε αυτά βρέθηκαν σε κάποιον ύποπτο υπολογιστή. Το plaso βασίζεται στην γλώσσα προγραμματισμού Python και αρχικός του στόχος ήταν να υπάρχουν χρονοσφραγίδες σε ένα μόνο σημείο για την ανάλυση ενός forsenic υπολογιστή. Ωστόσο το plaso έγινε ένα πρόγραμμα που υποστηρίζει νέους ανιχνευτές και plug-in ανάλυσης, καθώς και scripts που αυτοματοποιούν επαναλαμβανόμενες εργασίες κατά την εξέταση ενός ύποπτου υπολογιστή. Στο μέλλον αναμένεται να προστεθούν και άλλες λειτουργίες.
Εργαλεία
επεξεργασίαΣτο The Sleuth Kit ο χρήστης μπορεί να βρει και μερικά συμπεριλαμβανόμενα εργαλεία όπως το:
- ils που καταγράφει όλες τις καταχωρήσεις δεδομένων
- blkls που εμφανίζει τα δεδομένα μέσα σε ένα σύστημα αρχείων
- fls που εμφανίζει καταχωρημένα και μη καταχωρημένα αρχεία ενός συστήματος
- fsstat που εμφανίζει τις στατιστικές πληροφορίες μίας εικόνας ή ενός μέσου αποθήκευσης
- ffind που αναζητά ονόματα αρχεία που δείχνουν σε συγκεκριμένα δεδομένα
- Mactice που δημιουργεί ένα χρονοδιάγραμμα με βάση τους Mac χρόνους
- disk_stat που ανακαλύπτει την ύπαρξη ενός Host Protected Area ( προς το παρών μόνο για Linux)
Το The Sleuth Kit είναι μία δωρεάν εφαρμογή βασισμένη σε IPL, CPL και GPL γραμμένη σε γλώσσα C και Perl.
Βιβλιογραφία
επεξεργασίαProDiscover (Ιωάννης Γεώργιος Πανδρεμμένος, Εμμανουήλ Καπετανάκης)
επεξεργασίαΤι είναι το Prodiscover και πως χρησιμοποιήτε;
Η βασική έκδοση του ARC Group ProDiscover είναι ένα αυτοδιαχειριζόμενο εργαλείο για την εξέταση της ασφάλειας του σκληρού δίσκου.Το ProDiscover Basic έχει σχεδιαστεί για να λειτουργεί στο πλαίσιο του Εθνικού Ινστιτούτου Προτύπων - Specification Tool 3.1.6. Για τη συλλογή στιγμιότυπων δραστηριοτήτων η ProDiscover Basic έχει ένα ενσωματωμένο εργαλείο αναφοράς για να παρουσιάσει τα ευρήματα ως αποδεικτικά στοιχεία για τις νομικές διαδικασίες. Συγκεντρώνει τα στοιχεία της ζώνης ώρας, τις πληροφορίες κίνησης, τη δραστηριότητα στο Διαδίκτυο και πολλά άλλα, κομμάτι-κομμάτι ή σε ένα η ProDiscover Basic και παρέχει στους πελάτες την αυτονομία που επιθυμούν για τη διαχείριση της δικής τους ασφάλειας δεδομένων. Τα εργαλεία που χρειάζετε ο χρήστης για να προσδιορίσει τα θέματα ασφαλείας πριν κλιμακωθούν και χρησιμοποιεί λύσεις ProDiscover για να διατηρήσει την εταιρική του ασφάλεια και τα δεδομένα του. Με το ProDiscover Basic, οι επίσημοι σύμβουλοι, οι διαχειριστές συστημάτων και οι ανακριτές λαμβάνουν το προβάδισμα για να διαχειριστούν την ασφάλεια στον κυβερνοχώρο σε όλα τα επίπεδα και προστατεύουν τις πληροφορίες σε περίπτωση επικείμενων νομικών ενεργειών. Η λύση ProDiscover Basic επιτρέπει στο χρήστη να πάρει ασφάλεια στα δικά του χέρια.
Το ARC Group εισάγει το Cybercrime της επόμενης γενιάς του υποστηρίζεται από τον πρωτοπόρο της βιομηχανίας, ProDiscover. Τα πρωτοποριακά χαρακτηριστικά της τελευταίας έκδοσης της ProDiscover Forensic Edition ξεπερνούν τα πρότυπα της βιομηχανίας για την προληπτική εγκληματολογία υπολογιστών και η ARC Group είναι πίσω από αυτό το αποδεδειγμένο λογισμικό. Το ProDiscover Forensic είναι ένα ισχυρό εργαλείο ασφάλειας ηλεκτρονικών υπολογιστών που επιτρέπει στους επαγγελματίες υπολογιστών να παρακολουθούν όλα τα δεδομένα σε έναν δίσκο υπολογιστή και ταυτόχρονα να προστατεύουν τα αποδεικτικά στοιχεία και να δημιουργούν ποιοτικές εκθέσεις τεκμηρίωσης για χρήση σε δικαστικές διαδικασίες. Χρησιμοποιώντας τις βέλτιστες πρακτικές του κλάδου και την λιγότερο δυνατή καταστροφική προσέγγιση, το ProDiscover Forensic επιτρέπει στο χρήστη να εξετάζει αρχεία χωρίς να αλλάζει πολύτιμα μεταδεδομένα, όπως καθυστερημένη πρόσβαση. Το ProDiscover Forensic μπορεί να ανακτήσει τα διαγραμμένα αρχεία, να εξετάσει το κενό χώρο, να αποκτήσει πρόσβαση σε εναλλακτικές ροές δεδομένων των Windows και να ενεργοποιήσει δυναμικά την προεπισκόπηση, την αναζήτηση και την καταγραφή της περιοχής δίσκου υλικού HPA χρησιμοποιώντας την πρωτοποριακή τεχνολογία. Δεν είναι δυνατή η απόκρυψη δεδομένων από το ProDiscover Forensic επειδή διαβάζει το δίσκο σε επίπεδο τομέα. Το ProDiscover Forensic επιτρέπει στο χρήστη να αναζητάει ολόκληρο το δίσκο για λέξεις-κλειδιά, κανονικές εκφράσεις και φράσεις με πλήρεις δυνατότητες αναζήτησης Boolean για να βρεί τα απαραίτητα δεδομένα. Η λειτουργία σύγκρισης Hash μπορεί να χρησιμοποιηθεί για την εύρεση γνωστών παράνομων αρχείων ή για την εξάλειψη γνωστών αρχείων, όπως τα αρχεία κανονικού λειτουργικού συστήματος, χρησιμοποιώντας την ενσωματωμένη βάση δεδομένων Hashkeeper από το National Drug Intelligence Center. Η δυναμική δυνατότητα αναζήτησης ProDiscover Forensic είναι γρήγορη και ευέλικτη, επιτρέποντάς στο χρήστη να αναζητήσει λέξεις ή φράσεις οπουδήποτε στο δίσκο, συμπεριλαμβανομένου του χαλαρού χώρου. Η εκτεταμένη δυνατότητα ηλεκτρονικής βοήθειας και η εύκολη στη χρήση διασύνδεση GUI καθιστούν την δικανική διαδικασία (startup process) του ProDiscover απλή και εύκολη. Τέλος ο χρήστης μπορεί να βασιστεί στην ομάδα της ARC και στο ProDiscover για να χειριστεί με ασφάλεια όλες τις ανησυχίες του σχετικά με την ασφάλεια.
Βιβλιογραφία
Το LibForensics (Κλεινάκης Γιώργος,ΑΜ:4415252)
επεξεργασίαΈνα εργαλείο λογισμικού ψηφιακής εγκληματολογίας (digital forensics) είναι το LibForensics To LibForensics είναι μια βιβλιοθήκη που χρησιμοποιείται για την δημιουργία εφαρμογών ψηφιακής εγκληματολογίας. Είναι ανεπτυγμένο σε γλώσσα pythonκαι απαιτεί ο χρήστης να έχει εγκατεστημένη την 3.1 έκδοση της Python. Το LibForensics έχει ως στόχο να παρέχει έναν τρόπο για πλήρη εγκληματολογικό έλεγχο με εργαλεία που μπορούν να κάνουν εντοπισμό, εξαγωγή, αποκωδικοποίηση και ερμηνεία δεδομένων. Η εφαρμογή έχει άδεια GNU Lesser General Public License ( LGPLv3) και το API (Application programming interface), δηλαδή η διεπαφή προγραμματισμού της εφαρμογής, ώστε να μπορεί κάποιος να βρει πώς θα χρησιμοποιήσει τη συγκεκριμένη βιβλιοθήκη, μπορεί να βρεθεί στη σελίδα http://docs.libforensics.com/dev/html/index.html Τα λειτουργικά συστήματα που είναι συμβατά με το λογισμικό είναι Linux, Windows, Mac OS X και σύμφωνα με τον δημιουργό του και όσες πλατφόρμες είναι συμβατές με την έκδοση 3.1 της Python Το project είναι ακόμα υπό εξέλιξη, γι’ αυτό και ο δημιουργός του ζητάει από τους χρήστες να του αναφέρουν τυχόν προβλήματα που μπορεί να προκύψουν. Για το λόγο αυτό δεν υπάρχει κάποιο επίσημο έγγραφο(documentation) που να περιγράφει τον τρόπο χρήσης της εφαρμογής και περισσότερες λεπτομέρειες για την αυτήν. Προς το παρόν κάποιος μπορεί να βρει πληροφορίες για το project LibForensics στην σελίδα: https://code.google.com/archive/p/libforensics/
Πηγές
επεξεργασίαTCPDUMP (ΧΡΙΣΤΟΠΟΥΛΟΣ ΑΘΑΝΑΣΙΟΣ, ΠΑΤΟΥΝΑΣ ΗΛΙΑΣ )
επεξεργασίαΑρχικά γράφτηκε το 1988 από τον Van Jacobson , τον Sally Floyd , τον Vern Paxson και τον Steven McCanne, οι οποίοι τότε εργάζονταν στην Ομάδα Ερευνών Δικτυακού Εργαστηρίου του Lawrence Berkeley. Στα τέλη της δεκαετίας του 1990 υπήρχαν πολυάριθμες εκδόσεις του tcpdump που διανεμήθηκαν ως μέρος διαφόρων λειτουργικών συστημάτων και πολυάριθμες διορθώσεις που δεν ήταν καλά συντονισμένες. Ο Michael Richardson και ο Bill Fenner δημιούργησαν το tcpdump (http://www.tcpdump.org/) το 1999.Το tcpdump είναι ένα εργαλείο παρακολούθησης πακέτων μέσω γραμμής εντολών. Δουλεύει με tcp/ip και άλλων ειδών πακέτα τα οποία αποστέλλονται ή λαμβάνονται στο δίκτυο το οποίο είναι συνδεδεμένος ο υπολογιστής ο οποίος χρησιμοποιεί το tcpdump. Είναι ελεύθερο λογισμικό με την άδεια χρήσης της BSD (3-Clause). Έχει σχεδιαστεί να τρέχει σε όλα από τα πιο γνωστά unix-like λειτουργικά συστήματα με την βιβλιοθήκη libpcap. Η αντίστοιχη μεταφρασμένη έκδοση για τα Windows της Microsoft λέγεται WinDump και χρησιμοποιεί την WinPcap βιβλιοθήκη. Για την εκκίνηση του προγράμματος είναι απαραίτητα τα δικαιώματα διαχειριστή. O χρήστης μπορεί να περιορίσει τα δεδομένα του με μια έκφραση σαν φίλτρο, βάση την διεύθυνση του αποστολέα, ή του παραλήπτη, ή τη θύρα που χρησιμοποιείτε και άλλα. Αν δεν δοθεί κανένας περιορισμός το tcpdump εμφανίζει όλα τα πακέτα που περνάνε από το δίκτυο. Όταν η παρακολούθηση ολοκληρωθεί ή διακόπτει από τον χρήστη, εμφανίζονται οι εξής πληροφορίες: packets captured(ο συνολικός αριθμός των πακέτων που το tcpdump έλαβε και επεξεργάσθηκε), packets received by filter(διαφέρει ανάλογα το λειτουργικό σύστημα. Σε μερικά είναι ο αριθμός που ταιριάζει με το φίλτρο και τα οποία επεξεργάσθηκαν από το πρόγραμμα) και packets dropped by kernel(είναι ο αριθμός τον πακέτων που δεν μπόρεσαν να καταγραφούν λόγο έλλειψης πόρων. δηλαδή όταν ο buffer του συστήματος έχει γεμίσει).Ο χρήστης μπορεί να πειράξει το μέγεθος του buffer καθώς και να ορίσει έναν μετρητή, οπού το πρόγραμμα θα λάβει το πολύ μέχρι ένα συγκεκριμένο αριθμό πακέτων. Επίσης το tcpdump έχει τη δυνατότητα να αποθηκεύσει τα πακέτα που κατέγραψε σε αρχεία. Όπως μπορεί ακόμα να διαβάσει και να εμφανίσει το περιεχόμενο των πακέτων από τα αρχεία αυτά ή την ίδια ώρα που παρακολουθεί το δίκτυο σε μορφή ascii ή hex. Ένα άλλο παρόμοιο πρόγραμμα με το tcpdump είναι το wireshark με την κύρια όμως διαφορά ότι αυτό έρχεται με γραφικό περιβάλλον. Το οποίο έχει και αυτό τη δυνατότητα να διαβάσει τα αποθηκευμένα αρχεία καταγραφής του tcpdump.
https://en.wikipedia.org/wiki/Tcpdump http://www.tecmint.com/12-tcpdump-commands-a-network-sniffer-tool