Forensic και Antiforensic tools (8η εργασία 2016)
CAINE(Computer Aided INvestigative Environment) (Νίκος Παπαευσταθίου, Κλεάνθι Ντούκα)
επεξεργασίαDigital Forensics Framework (Κοτιανίδου Αναστασία, Ναβροζίδης Ζαχαρίας)
επεξεργασίαΕισαγωγή
επεξεργασίαΠεριγραφή
επεξεργασίαΤο Digital Forensics Framework(DFF) είναι ένα ελεύθερο λογισμικό εγκληματολογίας ανοιχτού κώδικα που στηρίζεται πάνω σε πολλούς διαφορετικούς τύπους διασύνδεσης δηλαδή σε ένα σύνολο πρωτοκόλλων για την δημιουργία εφαρμογών λογισμικού. Παρόλα αυτά διατίθεται και για αγορά με οδηγό εγκατάστασης που παρέχει περισσότερα χαρακτηριστικά. Χρησιμοποιείται για την συγκέντρωση, την προστασία και την αποκάλυψη των ψηφιακών ενδείξεων. Εκτελεί γρήγορη ανάλυση της μνήμης και των εγγράφων για διερεύνηση του υπολογιστή. Παράλληλα παρέχει μια μηχανή αναζήτησης για γρήγορη εύρεση εγγράφων. Ακόμη κάνει έλεγχο στο δίσκο και διατηρεί αποδεικτικά στοιχεία. Η έκδοση του έγινε στης 28 Φεβρουαρίου 2013 και είναι γραμμένο σε γλώσσα C++, Python και PyQt4 από τους προγραμματιστές Frederic Baguelin, Solal Iakov και Jeremy Mounier. Είναι διαθέσιμο σε 7 γλώσσες και στα λειτουργικά συστήματα Unix-like , Windows, Debian, Fedora και Ubuntu και χρησιμοποιεί άδεια χρήσης General Public License(GPL). Επιπλέον προσφέρει στους χρήστες διάφορα χαρακτηριστικά όπως αναδρομική προβολή, tagging, Live Search και bookmarking και δίνει την δυνατότητα για ψηφιακή έρευνα εξ αποστάσεως μέσω της γραμμής εντολών. Μεταξύ των άλλων έχουν κυκλοφορήσει βιβλία που αναφέρουν για το DFF όπως το Digital Forensics with Open Source Tools το 2011 και το Computer Forensik Hacks το 2012 . Tέλος το DFF έχει χρησιμοποιηθεί για να λυθεί το πρόβλημα Digital Forensic Research Workshop το 2010.
Λίγα λόγια για την εταιρία
επεξεργασίαΤο Digital Forensic Framework ανήκει στην εταιρία ArxSys η οποία δημιουργήθηκε το 2009 με έδρα το Παρίσι της Γαλλίας.Η ArxSys είναι μια καινοτόμα εταιρία η οποία έχει ως σκοπό την καταπολέμηση των περιστατικών της εγκληματολογίας, την παροχή υπηρεσιών ασφαλείας και την διαχείριση των ψηφιακών αποδεικτικών στοιχείων . Τώρα πλέον η εταιρία έχει πολλούς χρήστες και επιπλέον τα προϊόντα της έχουν ενταχθεί σε πανεπιστημιακά προγράμματα σπουδών.
Microsoft COFEE - (Δέδες Δημήτρης, Βλάχος Παναγιώτης)
επεξεργασίαΤι είναι το COFEE
επεξεργασίαΤο Computer Online Forensic Evidence Extractor γνωστό ως (COFEE), είναι ένα πρόγραμμα - εργαλειοθήκη όπου αναπτύχθηκε από την Microsoft για να παρέχει βοήθεια στους ερευνητές του ηλεκτρονικού εγκλήματος, με αποτέλεσμα να μπορούν να αντλήσουν πληροφορίες και αποδεικτικά στοιχεία απο έναν ηλεκτρονικό υπολογιστή με Windows. Το πρόγραμα αυτό μπορεί να εγκατασταθεί σε ένα USB Flash Drive ή σε άλλες εξωτερικές μονάδες σκληρών δίσκων και δρα ως μία αυτόματη εργαλειοθήκη σε μια ανάλυση. Η Microsoft παρέχει δωρεάν τις συσκευές με εγκατεστημένο το πρόγραμμα COFEE καθώς και online τεχνική βοήθεια σε διάφορες ερευνητικές υπηρεσίες.
Ανάπτυξη
επεξεργασίαΤο πρόγραμμα COFEE αναπτύχθηκε από τον Anthony Fung, έναν πρώην αξιωματικό της αστυνομίας του Hong Kong, ο οποιός τώρα εργάζεται ως ανώτερος ερευνητής σε μία ομάδα της Microsoft όπου παράχει ασφάλεια στο διαδίκτυο. Ο Fung ξεκίνησε να κατασκευάζει την συσκευή που περιείχε το COFEE μετά απο κάποιες συζητήσεις που έχει σε ένα συνέδριο περί της τεχνολογίας το 2006 και το οποίο χρηματοδοτήθηκε από την Microsoft. Η συσκευή αυτή χρησιμοποιήθηκε πάνω απο 2000 αστυνομικούς σε τουλάχιστον 15 χώρες. Τον Απρίλιο του 2008 η Microsoft δίνει πίστωση στο COFEE επειδή σε μια έρευνα στην Νέα Ζηλανδία όπου αφορούσε την διακίνηση υλικού παιδικής πορνογραφίας βρήκε κάποια στοιχεία που οδήγησαν σε σύλληψη. Η Microsoft και η Interpol τον Απρίλιο του 2009 υπέγραψαν μια συμφωνία στην οποία η Interpol θα ήταν ο κύριος διεθνής διανομέας του COFEE. Το κέντρο του Πανεπιστημίου του Δουβλίνου όπου ασχολείται με έρευνες ηλετρονικού εγκληματος, έρχεται σε συνεργασία με την Interpol για την ανάπτυξη ενός προγράμματος όπου θα κάνει εφικτή την εκπαίδευση των ερευνητών για το πως λειτουργεί και χρησιμοποιείτε το COFEE. Η Microsoft έδωσε την άδεια στο εθνικό κέντρο εγκλήματος White Collar ώστε να είναι ο μοναδικός διανομέας του COFEE για τις Ηνωμένες Πολιτείες.
Λειτουργία και Χρήση
επεξεργασίαΗ συσκευή COFEE ενεργοποιείται μόλις συνδεθεί σε κάποια θύρα USB από μια ηλεκτρονική συσκευή και περιέχει 150 εργαλεία καθώς και έναν οδηγό χρήσης ώστε να μπορούν να βοηθηθούν οι ερευνητές για να πραγαματοποιήσουν την συλλογή των δεδομένων. Το λογισμικό του COFEE χωρίζεται σε 3 τμήματα. Το πρώτο τμήμα του λογισμικού παρέχει την δυνατότητα στους ερευνητές να μπορούν να κάνουν επιλογή των στοιχείων και δεδομένων που επιθυμούν πριν την εξαγωγή τους. Το δεύτερο τμήμα του πραγματοποιεί την αποθήκευση των δεδομένων σε ένα USB Flash Drive και το τρίτο τμήμα ασχολείται με κάποιες αναφορές για τα δεδομένα όπου έχουν συλλεχθεί. Διάφορες αναφορές από την Microsoft έδειξαν οτι πριν την χρήση του COFEE οι ερευνητές έκαναν την συλλογή των δεδομένων σε περιόδο τεσσάρων ωρών περίπου, ενώ με την χρήση του η συλλογή γίνεται σε περίοδο 20 λεπτών.
Πηγές: https://en.wikipedia.org/wiki/Computer_Online_Forensic_Evidence_Extractor, http://forensicswiki.org/wiki/COFEE
BCWipe (Μπαλούκας Βαγγέλης, Μπουραζάνης Στάθης)
επεξεργασίαΕισαγωγή
επεξεργασίαΗ ραγδαία αύξηση του ηλεκτρονικού εγκλήματος , στο διαδίκτυο και στα πληροφοριακά συστήματα , είχε ως άμεση συνέπεια την “δημιουργία” ενός κλάδου στον τομέα της πληροφορικής με την ονομασία Computer forencsics, που θα ειδικευόταν στην προστασία των πληροφοριακών συστημάτων καθώς επίσης και στην συλλογή των ευρημάτων εγκληματολογικών ενεργειών μέσω ηλεκτρονικών υπολογιστών , με την βοήθεια συγκεκριμένων εργαλείων forensic tools. Στην αντίθετη πλευρά τα εργαλεία anti forensic tools , στοχεύουν στην παρεμπόδιση της εγκληματολογικής έρευνας.
BCWipe και η χρησιμότητα του
επεξεργασίαΤο BCWipe αποτελεί ένα πανίσχυρο antiforensic εργαλείο καθώς δημιουργήθηκε για πλήρη καταστροφή ηλεκτρονικών δεδομένων από σκληρούς δίσκους και σε οποιοδήποτε άλλο ψηφιακό μέσο. Δημιουργήθηκε από την Jetico Inc και έχει διακριθεί ανάμεσα σε άλλα anti forensic εργαλεία. Παρέχει πληθώρα επιλογών σχετικά με την διαγραφή και την αλλοίωση δεδομένων, όπως για παράδειγμα τον αριθμό των “περασμάτων” πάνω στα οποία θα γράψει άλλα δεδομένα. Αυτό καθιστά αρκετά δύσκολη και περίπλοκη την εύρεση των αρχικών αρχείων. Αξιοσημείωτο είναι πως έχει επιλεχθεί από το υπουργείο άμυνας των Ηνωμένων Πολιτειών και γενικά για στρατιωτικές χρήσεις, κάτι το οποίο φανερώνει την δύναμη του. Παράλληλα η εφαρμογή παρέχει την δυνατότητα στον χρήστη να κρυπτογραφήσει τα αρχεία με αρκετά ισχυρούς αλγόριθμους κρυπτογράφησης. Δύο επιλογές είναι στην διάθεση του χρήστη, με την επιλογή “Run BCWipe Task Manager” , ο χρήστης μπορεί να επιλέξει αυτός ποια θα είναι τα δεδομένα και οι περιοχές στις οποίες θα διαγράψει ολοκληρωτικά τα δεδομένα-στοιχεία το πρόγραμμα, διαδικασία η οποία γίνεται χειροκίνητα. Με την δεύτερη επιλογή η οποία είναι και αυτοματοποιημένη το πρόγραμμα τρέχει συνεχώς στο παρασκήνιο και καταστρέφει αμέσως τα δεδομένα, τα οποία ο χρήστης απλώς διαγράφει επιφανειακά. Παρέχει πρόσβαση επίσης και στα αρχεία swap, στην περιοχή της μνήμης δηλαδή που βρίσκονται προσωρινά αρχεία , μέσα από τα οποία μπορεί κάποιος να αποσπάσει πολύτιμες πληροφορίες. Επίσης μέσα από το BCWipe κάποιος, είναι σε θέση να προγραμματίσει μια “ρουτίνα” για την καταστροφή δεδομένων σε οποιοδήποτε χρονικό διάστημα θελήσει ο χρήστης. Τέλος ένα από τα δυνατά σημεία αυτής της εφαρμογής είναι η δυνατότητα που έχει να “γράφει” σε περιοχές του δίσκου , που το σύστημα τις αναφέρει ως “άδειες” ενώ στην πραγματικότητα μπορεί να έχουν μείνει δεδομένα ακόμα σε αυτές. Ωστόσο δεν διακρίνεται για την τόσο φιλική διεπαφή του και μπορεί να δημιουργήσει αρκετά μπερδέματα σχετικά με την ορθή χρήση του. Τέλος το BCWipe προσφέρεται για δοκιμαστική περίοδο 25 ημερών με αρκετούς περιορισμούς , παρ'όλα αυτά υποστηρίζεται και από τις 3 γνωστές πλατφόρμες Windows, Linux, Mac OS X.
Πηγές
επεξεργασίαWireshark(Βαγιόπουλος Νίκος,Καλκάνης Νίκος)
επεξεργασίαΤο Wireshark που αποτελεί ένα εύχρηστο λογισμικό και ίσως ένα από τα καλύτερα εργαλεία για forensic ανάλυση πρωτοκόλλων δικτύου.Ουσιαστικά η λειτουργία του πρόκειται για την ανάλυση,την παρακολούθηση καθώς και για τον εντοπισμό και την αντιμετώπιση διάφορων διαδικτυακών προβλημάτων ενώ παράλληλα χρησιμοποιείται και για εκπαιδευτικούς σκοπούς.Γράφτηκε σε κώδικα C και C++ και περιγράφεται ως ένα ελεύθερο λογισμικό ανοιχτού κώδικα.Παράλληλα,είναι πολύ σημαντικό να αναφερθεί ότι είναι ένα πρόγραμμα το οποίο είναι αρκετά εύχρηστο καθώς είναι συμβατό με όλα τα λειτουργικά συστήματα.Τον Ιούλιο του 1998 ο Gerald Combs,απόφοιτος του Πανεπιστημίου Missouri-Kansas City,ήταν αυτός ο οποίος δημοσίευσε το λογισμικό Wireshark.Αρχικά η πρώτη ονομασία του λογισμικού ήταν Ethereal,αλλά αργότερα λόγω αλλαγής του εμπορικού σήματος καθώς ο Gerald Combs κατείχε ένα μεγάλο κομμάτι των πνευματικών δικαιωμάτων του κώδικα του Ethereal άλλαξε την ονομασία του προγράμματος σε Wireshark.Η πιο πρόσφατη έκδοση βγήκε στην κυκλοφορία στις 22 Απριλίου του 2016.Το Wireshark κατά τη διάρκεια της λειτουργίας του κατέκτησε αρκετά βραβεία βιομηχανίας όπως για παράδειγμα είναι το InfoWorld,το eWeek,καθώς και το βραβείο του περιοδικού PC Magazine.Αυτό το λογισμικό ταυτίζεται επίσης με το πρόγραμμα tcpdump,καθώς και τα δύο πρόκειται για λογισμικά ανάλυσης πακέτων,αλλά το Wireshark διαφέρει εφόσον χρησιμοποιεί το γραφικό front-end αλλά και πολλαπλές επιλογές φιλτραρίσματος και ταξινόμησης.Το Wireshark παρέχει την δυνατότητα στο χρήστη βάζοντας την κάρτα δικτύου σε μία κατάσταση η οποία ονομάζεται Promiscuous mode να μπορεί να παρατηρεί ευκολότερα όλη την κίνηση του δικτύου.Παρόλα αυτά η λειτουργία Promiscuous mode έχει ένα μειονέκτημα το οποίο είναι δεν μπορεί να εμφανίσει όλη την κίνηση του δικτύου με αποτέλεσμα να χάνεται ένα μικρό ποσοστό διαδικτυακών πακέτων,αλλά αυτό διορθώνεται χρησιμοποιώντας την λειτουργία port mirroring και διάφορες taps δικτύου.Στη συνέχεια,οι λειτουργίες του Wireshark είναι πολυάριθμες και μερικές από αυτές είναι.Αρχικά,μπορεί να αποθηκεύει δεδομένα τα οποία είτε είναι ήδη αποθηκευμένα πακέτα σε υπάρχοντες φακέλους αρχείων είτε μέσω μιας ενσύρματης ζωντανής διαδικτυακής σύνδεσης.Επιπλέον,έχει την δυνατότητα να διαβάζει τα τρέχοντα δεδομένα μέσω διαφόρων τύπων δίκτυα όπως είναι για παράδειγμα το loopback,το Ethernet και το PPP.Επίσης,βελτιώνει τα δεδομένα τα οποία εμφανίζονται χρησιμοποιώντας ένα φιλτράρισμα.Επιπρόσθετα,καταφέρνει να αποθηκεύσει την κίνηση δεδομένων μέσω μιας μη επεξεργασμένης μορφής USB.Μια ακόμη λειτουργία είναι πως καταφέρνει να φιλτράρει και ασύρματες συνδέσεις με την προϋπόθεση ότι αυτές θα περνάνε μέσω της παρακολουθούμενης σύνδεσης Ethernet.Επιπρόσθετα,περιλαμβάνει ποικίλες ρυθμίσεις,χρονόμετρα και φίλτρα προκειμένου να διαβεβαιώνει ότι θα αποθηκεύονται μόνο τα δεδομένα τα οποία αναζητούνται.Τελευταία,καταφέρνει να αποθηκεύσει αλλά και να ανιχνεύσει VoIP κλήσεις,ενώ παράλληλα χρησιμοποιώντας μια συμβατή κωδικοποίηση μπορεί να τις αναπαράξει με ζωντανό ήχο.
Πηγές: https://en.wikipedia.org/wiki/Wireshark https://en.wikipedia.org/wiki/Tcpdump
SANS SIFT (Ραφαήλ Μουσάς , Καραΐσκος Κωνσταντίνος)
επεξεργασίαForemost (software) (Μπόγρης Αντώνης, Σκούπρα Αναστασία)
επεξεργασίαΕισαγωγή
επεξεργασίαTo Foremost είναι ένα πολύ ισχυρό Forensic εργαλείο ανάκτησης δεδομένων από όλους τους τύπους των αποθηκευτικών μέσων. Αρχικά είχε αναπτυχθεί από τις υπηρεσίες ασφαλείας των ΗΠΑ και πλέον είναι διαθέσιμο δωρεάν. Θεωρείται ένα από τα καλύτερα εργαλεία στο είδος του επειδή ψάχνει για δεδομένα όχι με βάση τα partition tables, αλλά με βάση τα headers, footers και την εσωτερική δομή τους. Είναι ικανό να επαναφέρει ακόμη και ιδιαίτερους τύπους αρχείων όπως: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, and cpp. Διαθέτει ακόμη ένα αρχείο ρυθμίσεων το οποίο χρησιμοποιείται για να ορίσει επιπλέον τύπους αρχείων.
Τρόπος λειτουργίας
επεξεργασίαΟ τρόπος λειτουργίας του το καθιστά ιδανικό για εύρεση διαγραμμένων δεδομένων ακόμη και από φορμαρισμένους δίσκους. Για την λειτουργία του συγκεκριμένου λογισμικού χρειάζεται ένα disk image του αποθηκευτικού μέσου που είναι προς αναζήτηση με κάποιο πρόγραμμα σαν τα dd, Safeback, Encase. Σημειώνεται ότι το image θα πρέπει να προέρχεται από low-level διαδικασία, ώστε να είναι ένα πιστό αντίγραφο της φυσικής επιφάνειας του αποθηκευτικού σας μέσου. Το foremost δεν παρέχει γραφική διασύνδεση χρήστη αλλά χρησιμοποιείται από τη γραμμή εντολών του υπολογιστή. Έχει τη δυνατότητα να επαναφέρει δεδομένα ακόμη και από iPhones μέσω υπολογιστή.
Παράδειγμα Λειτουργίας
επεξεργασίαΗ απλούστερη σύνταξη της εντολής του είναι η εξής: foremost -o ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ -t ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ -i IMAGE_FILE
• Το «ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ» είναι η πλήρης διεύθυνση της τοποθεσίας που αποθηκεύονται τα αρχεία που το πρόγραμμα θα βρει.
• Το «ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ» λέει στο foremost για ποιους τύπους αρχείων να ψάξει. Το foremost διαβάζοντας τα bytes της επιφάνειας του δίσκου ή του image που του δοθεί, συγκρίνει τις αλληλουχίες δεδομένων που βρίσκει με πρότυπα που έχει και έτσι εντοπίζει πιθανά αρχεία διαφόρων τύπων (εκ κατασκευής μπορεί να ανιχνεύσει jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, και cpp, μπορεί όμως να επεκταθεί με την δημιουργία νέων προτύπων. Αν στο -t δοθεί all, τότε θα ψάξει για όλους τους πιθανούς τύπους που έχει στα πρότυπά του.
• Το IMAGE_FILE είναι η ακριβής τοποθεσία και όνομα του image το οποίο καλείται να ερευνήσει το foremost, πχ /media/disk/IMAGE.dd
Εφόσον, έχει δημιουργηθεί το image (πχ. IMAGE.dd και βρίσκεται στην τοποθεσία /media/disk) η κλήση του foremost γίνεται ως εξής:
sudo foremost -o /media/disk/RESCUE -t all -i /media/disk/IMAGE.dd
Το foremost θα ψάξει για όλους τους δυνατούς τύπους αρχείων στο /media/disk/IMAGE.dd και ότι βρει θα το αποθηκεύσει στο /media/disk/RESCUE. Μάλιστα, αντίθετα από άλλα utilities, ότι βρίσκει τα ομαδοποιεί ανά τύπο. Στον κατάλογο που θα αποθηκευτούν τα αποτελέσματα δημιουργείται και ένα αρχείο ονόματι audit.txt το οποίο είναι το log της διαδικασίας και περιγράφει αναλυτικά όλα τα αποτελέσματα.
Πηγές
επεξεργασίαhttps://en.wikipedia.org/wiki/Foremost_(software) http://foremost.sourceforge.net/ https://help.ubuntu.com/community/DataRecovery
Autopsy (Παπαστερίου Χρήστος-Στυλιανός Πλιάτσικας)
επεξεργασίαTrueCrypt (Σιώπης Χρήστος, Καλογερούδης Γιώργος)
επεξεργασίαΑυτό που κάνει το TrueCrypt είναι να δημιουργεί ένα εικονικά κρυπτογραφημένο δίσκο μέσα σε ένα αρχείο. Είναι επίσης ικανό να κρυπτογραφήσει ένα μέρος του σκληρού δίσκου (partition) ή και ολόκληρο τον αποθηκευτικό χώρο. Σταμάτησε να λαμβάνει ενημερώσεις στις 28 Μαΐου 2014, μετά από σχετική ανακοίνωση της επίσημης ιστοσελίδας, στην οποία αναφέρει ότι θα σταματήσουν περαιτέρω συντηρήσεις στο project και παρέπεμπε τους χρήστες να βρουν άλλα παρόμοια εγχειρήματα. Το όλο project σχεδιάστηκε και προγραμματίστηκε από την TrueCrypt Foundation και αρχικά κυκλοφόρησε το Φεβρουάριο του 2004, 13 χρόνια πριν. Η τελευταία έκδοση που κυκλοφόρησε ήταν η 7,2. Το πρόγραμμα είναι γραμμένο στις γλώσσες προγραμματισμού C και C++. Πέρα από τα καθιερωμένα λειτουργικά συστήματα Microsoft Windows, OS X, Linux, υποστηρίζει και έκδοση Android μέσω εφαρμογών τρίτων, όπως Cryptonite, EDS Lite και LUKS manager. Το μέγεθος του προγράμματος για τον υπολογιστή ανέρχεται στα 3,30 MB και είναι διαθέσιμο σε πάνω από 30 γλώσσες αν και οι περισσότερες εξ αυτών είναι απλές μεταφράσεις. Έχει διανεμηθεί κάτω από την άδεια TrueCrypt. Η άδεια αυτή δεν αποτελεί μέρος των ευρέως διαδεδομένων αδειών ανοιχτού κώδικα. Αυτή την άποψη ενστερνίζεται και ο οργανισμός Free Software Foundation, διότι, σύμφωνα με τα λεγόμενά του, διαθέτει περιορισμούς όσον αφορά τα πνευματικά δικαιώματα και τη διανομή. Όσον αφορά την ασφάλεια του προγράμματος, υπάρχουν κάποιες ανησυχίες. Το TrueCrypt είναι ευαίσθητο σε διαφόρων ειδών επιθέσεις. Για την αποφυγή αυτών, απαιτείται από τους χρήστες, σύμφωνα με το εγχειρίδιο χρήσης, να ακολουθήσουν διάφορα μέτρα ασφαλείας. Μία επίθεση η οποία παραμονεύει κινδύνους για την ασφάλεια του προγράμματος είναι η αποθήκευση κλειδιών κρυπτογράφησης στη προσωρινή μνήμη του υπολογιστή. Μέσω αυτής της ενέργειας, ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση στον υπολογιστή του χρήστη, μιας και το TrueCrypt κρατάει τα κλειδιά στη προσωρινή μνήμη του υπολογιστή, ακόμα και αρκετή ώρα μετά τον τερματισμό του υπολογιστή. Όπως είναι λογικό, το TrueCrypt δε μπορεί να προσφέρει ασφάλεια στα δεδομένα του χρήστη όταν ο επιτιθέμενος πληκτρολογεί ο ίδιος το προσωπικό κωδικό του χρήστη. Στη περίπτωση που ο υπολογιστής έχει ήδη εγκατεστημένο κάποιο κακόβουλο λογισμικό, το TrueCrypt δε μπορεί να ασφαλίσει τα δεδομένα του υπολογιστή. Π.χ. ο ιός μπορεί να καταγράφει τα χτυπήματα του πληκτρολογίου και να εκθέτει στον επιτιθέμενο τους κωδικούς πρόσβασης του χρήστη. Τέλος, το TrueCrypt εμπλέκεται και σε πολλές νομικές υποθέσεις. Μία εξ αυτών του David Mirandaοπού οι αρχές του κατέσχεσαν το σκληρό δίσκο, με τη καταγγελία ότι περιέχει ευαίσθητα δεδομένα όσον αφορά τη παγκόσμια παρακολούθηση. Όπως αναφέρουν οι αρχές δεν έχουν καταφέρει να αποκρυπτογραφήσουν ακόμα όλα τα δεδομένα και σε αυτό οφείλεται το TrueCrypt.
VHD (Virtual Hard Disk) (Κραβαρίτης Κωνσταντίνος, Βλάχος Αλέξανδρος)
επεξεργασίαTo VHD (Virtual Hard Disk) (Εικονικός Σκληρός Δίσκος) είναι ένας δίσκος στον οποίο περιέχονται κάποια δεδομένα και κάποια αρχεία τα οποία χρησιμοποιούνται σε περίπτωση έκτακτης ανάγκης ή και μη στην οποία ο διαχειριστής θέλει να επαναφέρει το σύστημα στην αρχική του μορφή. Επίσης αν ο υπολογιστής δεν λειτουργεί σωστά τότε μπορεί ο καθένας να κάνει επαναφορά του συστήματος. Η επαναφορά επιτρέπει στον καθένα να επιλέξει αν θα διατηρήσει ή αν θα καταργήσει τα αρχεία του και στην συνέχεια γίνεται εγκατάσταση του λειτουργικού συστήματος από την αρχή. Έπειτα οι ρυθμίσεις που υπήρχαν στο παρελθόν στο σύστημα πρέπει να ξαναγίνουν από την αρχή σαν να λειτουργείτε το σύστημα ξανά για πρώτη φορά από εμάς ή κάποια εταιρία. Επίσης οποιοδήποτε πρόγραμμα ήταν εγκατεστημένο θα πρέπει να εγκατασταθεί από την αρχή ξανά και θα πρέπει να ρυθμιστεί από την αρχή ξανά και σωστά. Εάν κάποιος ή κάποια εταιρία προβεί σε αυτήν την ενέργεια, να κάνει δηλαδή επαναφορά του συστήματος θα πρέπει ότι ρυθμίσεις υπήρχαν πριν να ξαναγίνουν από την αρχή και με την ίδια σειρά αλλιώς μπορεί κάποιο πρόγραμμα ή κάποια εφαρμογή να μην λειτουργεί σωστά. Εκτός από την επαναφορά γενικά όλου του συστήματος μπορεί να γίνει και επαναφορά του συστήματος σε κάποια παλιότερη έκδοση του λειτουργικού έτσι ώστε να μην χαθούν τα εγκατεστημένα προγράμματα και οι ρυθμίσεις που έχουν γίνει. Εκτός από όλα αυτά, μπορεί κάποιος ο οποίος είναι πιο προχωρημένος σε τέτοια θέματα, να << μπει >> στα έτοιμα αρχεία που υπάρχουν από την αρχή στον εικονικό σκληρό δίσκο και να προσθέσει κάποια δικά του, έτσι ώστε σε περίπτωση που γίνει κάτι και του διαγραφούν ή του καταστραφούν κάποια αρχεία ή όλα τα αρχεία να κάνει επαναφορά με το που γίνει εγκατάσταση του λειτουργικού συστήματος να περιέχονται ήδη τα αρχεία έτοιμα χωρίς να χρειάζεται μετά να τα ψάχνει. Το μέγεθος του εικονικού σκληρού δίσκου μπορεί να επεκταθεί από τους προγραμματιστές οι οποίοι γνωρίζουν πως να το κάνουν, εάν χρειαστεί να αποθηκευτούν επιπλέον αρχεία τα οποία δεν πρέπει να χαθούν. Ένα πλεονέκτημα του εικονικού σκληρού δίσκου είναι ότι όταν κάποιος εισβολέας καταφέρνει και μπαίνει στο σύστημά μας ή στο σύστημα μίας εταιρίας και διαγράφει κάποια αρχεία τότε είναι εφικτό να γίνει ανάκτηση των δεδομένων χωρίς να υπάρξει κανένα απολύτως πρόβλημα. Το ίδιο ισχύει και για την καταστροφή των αρχείων. Αν για παράδειγμα καταστρέψει κάποια αρχεία ή τα αλλοιώσει ο εισβολέας τότε η εταιρία μπορεί να επανέλθει τα αρχεία στην αρχική τους μορφή με την ανάκτηση των δεδομένων. Με λίγα λόγια το VHD (Virtual Hard Disk) είναι ένας εικονικός σκληρός δίσκος ο οποίος χρησιμοποιείται για την επαναφορά του συστήματος στην αρχική μορφή όποτε αυτό κρίνεται απαραίτητο και επίσης μπορεί εύκολα να τροποποιηθεί από προχωρημένος χρήστες και προγραμματιστές έτσι ώστε να τον χρησιμοποιήσουν για τις δικές τους ανάγκες.
Forensic Toolkit (FTK)(Δημήτρης Μπατζογιάννης, Ζήσης Παπαδόπουλος)
επεξεργασίαOSForensics (Βράκας Φώτιος, Πάσκου Γεώργιος)
επεξεργασίαΤο OSForensics είναι μία πλήρης πλατφόρμα εργαλείων που δημιουργήθηκε από την PassMark Software με σκοπό τη συλλογή πληροφοριών, οι οποίες μπορούν να αποτελέσουν αποδεικτικά στοιχεία ενός εγκλήματος, από υπολογιστές. Εκτός από την άμεση εγκατάσταση και χρήση του προγράμματος στον υπολογιστή-στόχο, τον υπολογιστή δηλαδή από τον οποίο πρέπει να παρθούν τα δεδομένα, το πρόγραμμα μπορεί να χρησιμοποιηθεί και σε άλλον υπολογιστή, με χρήση ενός αντιγράφου του υπολογιστή-στόχου. Η ανάλυση των ψηφιακών δεδομένων πραγματοποιείται ενδελεχώς, σε ένα ευρύ φάσμα πόρων και στοιχείων του εκάστοτε υπολογιστή.
Μέσω του προγράμματος ο χρήστης είναι σε θέση να ανιχνεύει τα στοιχεία πολύ πιο γρήγορα σε σχέση με την αναζήτηση μέσω των απλών προγραμμάτων που παρέχονται από το λειτουργικό σύστημα των Windows. Μέσω της μηχανής αναζήτησης Zoom της Wrensoft είναι δυνατή η αποτελεσματική αναζήτηση όλων των αρχείων του σκληρού δίσκου, με βάση το περιεχόμενό τους, ακόμη και για τα αρχεία που δεν έχουν κατάληξη. Ακόμη είναι δυνατή η ανάκτηση αρχείων που έχουν διαγραφεί από το χρήστη και της ανίχνευσης hidden περιοχών του σκληρού δίσκου (HPA/DCO) για την εύρεση στοιχείων είτε με τη μέθοδο της αφαίρεσης της HPA/DCO περιοχής είτε με τη δημιουργία μίας εικόνας της περιοχής(imaging) που θα αποθηκευτεί ως αρχείο και θα διαβαστεί από το λογισμικό με το κατάλληλο εργαλείο. Επιπλεόν το OSForensics συλλέγει δεδομένα από αρχεία που βρίσκονται σε emails όπως το Outlook και το ThunderBird, ανιχνεύει τις πρόσφατες ενέργειες του χρήστη όπως το ιστορικό περιήγησης και τις πρόσφατα συνδεδεμένες συσκευές καθώς και τις πληροφορίες συστήματος (BIOS, CPU κα).
Για πιο εις βάθος χρήση του προγράμματος και εξοικονόμηση χρόνου, ο χρήστης μπορεί να χρησιμοποιήσει το εργαλείο Hash Set Lookup το οποίο μέσω ενός hashing alogithm ανιχνεύει αρχεία που βρίσκονται σε διαφορετική από την αρχική τους τοποθεσία ή αρχεία των οποίων το περιεχόμενο έχει αλλάξει. Συσχετίζοντας αυτά τα αρχεία με άλλα γνωστά ως προς το περιεχόμενο αρχεία, ο χρήστης μπορεί να διαγράψει τα ασφαλή ή «καλά» αρχεία και να επικεντρωθεί σε αρχεία με ύποπτο περιεχόμενο, όπως ιούς ή πορνογραφία. Ακόμη είναι δυνατή η ανίχνευση αρχείων των οποίων η κατάληξη έχει αλλάξει, κάτι που αποτελεί συνήθη τακτική για την απόκρυψη φωτογραφιών και άλλων «dark data». Διεισδύοντας ακόμη πιο βαθιά, η πλατφόρμα μπορεί να ανιχνεύει text strings σε μορφή ASCII/Unicode μέσα από τα binary δεδομένα, να δημιουργεί εικονικές αναπαραστάσεις ενός αρχείου με το πέρας του χρόνου για τον καθορισμό των ημερομηνιών στις οποίες η δραστηριότητα θεωρείται ύποπτη ή τη δημιουργία του προφίλ του υπόπτου σε βάθος χρόνου καθώς και να εξάγει τις thumbnail εικόνες που βρίσκονται στα αρχεία thumbnail cache. Το λογισμικό OSForensics περιέχει και άλλα εργαλεία για την εξαγωγή πληροφοριών.
Μετά την εύρεση όλων των σημαντικών δεδομένων ο χρήστης μπορεί να δημιουργήσει ένα ασφαλή, κρυπτογραφημένο αρχείο στο οποίο θα μπορεί να προσθέσει οποιοδήποτε δεδομένο στο μέλλον ή να αναλύσει τα ήδη υπάρχοντα δεδομένα περαιτέρω.
Διατίθεται σε δύο εκδόσεις: την επαγγελματική και τη δωρεάν. Η δεύτερη περιέχει περιορισμένες δυνατότητες. Το συγκεκριμένο λογισμικό θεωρείται από τα κορυφαία του είδους του και χρησιμοποιείται από κυβερνητικούς, ιδιωτικούς και ακαδημαϊκούς φορείς. Πολλά βιβλία και άρθρα στο διαδίκτυο περιέχουν αναφορές στο OSForensics.
Slacker (Χατζής Νικόλαος)
επεξεργασίαTo Slacker αποτελεί ένα anti-forensic εργαλείο, ένα εργαλείο δηλαδή σύμφωνα με την τεχνική που αντιτίθεται στην ανάλυση δεδομένων με σκοπό την καταπολέμηση του ηλεκτρονικού εγκλήματος. Το εν λόγω εργαλείο αποτελεί μέρος του project MAFIA (Metasploit Anti-Forensic Investigation Arsenal), το οποίο είναι ένα project με σκοπό την εκμετάλλευση τυχών αδυναμιών στο θέμα της ασφάλειας και φημίζεται για τα anti-forensic εργαλεία του. Το λογισμικό διανέμεται δωρεάν από την επίσημη ιστοσελίδα της Metasploit επιλέγοντας το πακέτο Metasploit Framework. Άλλες πιο εξελιγμένες και πιο πλήρεις εκδόσεις είναι διαθέσιμες επίσης.
Κατά τη δημιουργία ενός νέου αρχείου στον υπολογιστή δεσμεύεται κάποιος χώρος, μεγαλύτερος από το μέγεθος του αρχείου. Αυτό έχει ως αποτέλεσμα να υπάρχει σε κάθε αρχείο κενός χώρος, γνωστός στην πληροφορική ως slack space. Το εργαλείο slacker εκμεταλλεύεται ακριβώς αυτόν τον κενό χώρο για να αποκρύψει ενοχοποιητικές πληροφορίες και ύποπτα δεδομένα. Πιο συγκεκριμένα, το εν λόγω εργαλείο χωρίζει το αρχείο σε κομμάτια τα οποία τοποθετεί στο slack space ενός άλλου αρχείου.
Το Slacker είναι εργαλείο γραμμής εντολών, η χρήση του δηλαδή ενεργοποιείται και ρυθμίζεται με μία εντολή στη γραμμή εντολών (command line). H σύνταξη της εντολής είναι η πληκτρολόγηση του ονόματος του εργαλείου (slacker.exe) και του γράμματος -s, το οποίο υποδεικνύει την αποθήκευση του αρχείου, ακολουθούμενο από κάποιες παραμέτρους σε παρένθεση, τις οποίες καθορίζει ο χρήστης. Αυτές είναι το αρχείο που θα αποκρυφτεί, η διαδρομή του υπολογιστή (path) για την αναζήτηση του slack space, το πόσο εις βάθος σε επίπεδα να γίνει αναζήτηση (levels), ένα όνομα αρχείου για την αποθήκευση των μεταδεδομένων, έναν κωδικό για την κρυπτογράφηση του αρχείου μεταδεδομένων, το είδος της επιλογής του slack space (αφελής, τυχαία ή έξυπνη), το αν και με ποιόν τρόπο θα μπερδευτούν τα «υπο απόκρυψη» δεδομένα και, τέλος, το αρχείο τα περιεχόμενα του οποίου θα χρησιμοποιηθούν ως το κλειδί XOR.
Το αρχείο το οποίο έχει υποστεί απόκρυψη μπορεί στη συνέχεια να ανακτηθεί χρησιμοποιώντας τα δεδομένα που ο χρήστης ορίζει κατα την ενεργοποίηση της εντολής slacker.exe. Η διαδικασία γίνεται και πάλι με μία εντολή στη γραμμή εντολών η οποία αυτή τη φορά περιλαμβάνει το όνομα του εργαλείου και του γράμματος –r, για την ανάκτηση ενός αρχείου, ακολουθούμενο από τις παραμέτρους: αρχείο για αποθήκευση των μεταδεδομένων και κωδικό για την κρυπτογράφηση που ορίστηκαν κατά την απόκρυψη του αρχείου. Επιπλέον ο χρήστης πρέπει προαιρετικά να ορίσει το νέο όνομα του αρχείου που θα ανακτηθεί, αφού προηγουμένως πληκτρολογήσει το γράμμα –ο που υποδηλώνει ότι αναφερόμαστε στο εξαγώγιμο αρχείο (output file). Σε περίπτωση που δεν οριστεί νέο όνομα, το ανακτημένο αρχείο αποθηκεύεται χρησιμοποιώντας το παλιό του όνομα.
Για το δύσκολο εντοπισμό των δεδομένων σε περίπτωση ανάλυσης με εργαλεία Forensic, ενώ τα δεδομένα που αποθηκεύονται στο slack space των αρχείων δεν είναι κρυπτογραφημένα, τα μεταδεδομένα που αποθηκεύονται σε αρχείο είναι κρυπτογραφημένα.Η χρήση του εργαλείου γίνεται σε περιβάλλον Windows (αρχεία ΝTFS) και μπορεί να εξυπηρετεί σκοπούς όπως η απόκρυψη πληροφοριών αλλά και η ενοχοποίηση τρίτων με την προσθήκη πληροφοριών στο slack space των αρχείων τους.
iPhone Analyzer-(Μαγαλιού Γεωργία,Μανιατόπουλος Νικόλαος)
επεξεργασίαΕισαγωγή
Η συνεχής εξέλιξη και ανάπτυξη της τεχνολογίας και της επιστήμης των υπολογιστών έχει πλέον εισχωρήσει βαθιά μέσα στην καθημερινότητα μας και παρόλο που η τεχνολογία έχει αλλάξει τον τρόπο ζωής μας υπάρχει βέβαια και η ΄΄σκοτεινή΄΄ της πλευρά ( ηλεκτρονικό έγκλημα,υποκλοπή προσωπικών δεδομένων, παράνομη πρόσβαση σε ιδιωτικά υπολογιστικά συστήματα, επιθέσεις σε άτομα ή ακόμα και σε επιχειρήσεις κ.α. ).Λόγω αυτής της πλευράς και της ραγδαίας αύξησης των κρουσμάτων προέκυψαν τα Forensic tools τα οποία είναι εργαλεία που βοηθούν στην ανάκτηση και ανάλυση δεδομένων με νομικά αποδεκτό τρόπο και χρησιμοποιούνται στην ανίχνευση και αποτροπή του ηλεκτρονικού εγκλήματος από τους ειδικούς του κλάδου αυτού.
iPhone Analyzer και τα πλεονεκτήματα-μειονεκτήματα του
Ένα τέτοιο εργαλείο είναι και το iPhone Analyzer της Viaforensics, το οποίο επιτρέπει την ανάκτηση ψηφιακών δεδομένων από συσκευές iOS. Είναι ανοικτό λογισμικό και μπορεί εξίσου να λειτουργήσει σε λειτουργικό Linux, Windows και πλατφόρμες Mac. Πραγματοποιεί ταχεία αναζήτηση σε ολόκληρη τη συσκευή σας και έχει την δυνατότητα να απεικονίζει διαγραμμένα αρχεία και να τα εξάγει με ένα μόνο κλικ καθώς επίσης μπορεί να επανακτήσει κωδικούς πρόσβασης. Λειτουργεί σε συσκευές iOS2, iOS3, iOS4, iOS5. Ωστόσο, δεν παρέχει πλήρη υποστήριξη σε συσκευές iOS έκδοσης 6 και μετά και χρειάζεται άλλες επεκτάσεις για να προβάλλει videos και voice mails. Εξίσου δυσκολία υπάρχει στην προβολή μηνυμάτων MMS.
Λειτουργία
Το iPhone Analyzer έχει πρόσβαση σε κρυμμένους φακέλους που υπάρχουν μέσα σε μια συσκευή iphone, itouch ή ipad και μέσω μιας βιβλιοθήκης της Java παρέχει τη δυνατότητα ανάκτησης property list ή p-list αρχείων( αρχεία που αποθηκεύουν τις ρυθμίσεις του χρήστη.) και SQLite αρχείων( τοπική αποθήκευση δεδομένων από πχ. Browsers ή αρχεία που έχουν διαγραφεί αλλά δεν έχουν εκκαθαριστεί από την συσκευή.) με τη χρήση αντιγράφων ασφαλείας από το iTunes. Και επειδή ακριβώς λειτουργεί με αντίγραφα ασφαλείας είναι αδύνατο να υπάρξει αλλαγή στα αρχικά δεδομένα. Επιπλέον, υποστηρίζει πολλούς τύπους αρχείων όπως μηνύματα, επαφές, εικόνες, αρχεία κλήσεων. Μέσω της γραμμής εντολών μπορούμε να περιηγηθούμε σε όλο το δέντρο καταλόγου εύκολα και μπορούμε να δούμε μεμονωμένα αρχεία αλλά επίσης μπορούμε να αποκτήσουμε πρόσβαση στο πρωτόκολλο Secure Shell ή SSH ( το οποίο επιτρέπει τη μεταφορά δεδομένων μεταξύ δύο υπολογιστών.) εάν η συσκευή που χρησιμοποιούμε είναι ΄΄σπασμένη΄΄. Επιτρέπει χαρτογράφηση με ή χωρίς σύνδεση στο διαδίκτυο καθώς επίσης υποστηρίζει αρχεία Keyhole Markup Language ή KML (αρχεία που εκφράζουν την γεωγραφική απεικόνιση μέσω internet σε δισδιάστατους χάρτες και τρισδιάστατους περιηγητές της Γης) και τα εξάγει άμεσα στο Google Earth.
Πηγές
http://theevilbit.blogspot.gr/2013/01/backtrack-forensics-iphone-analyzer.html
Attention-Deficit-Disorder (Μαντζορογεώργος Ραφαήλ, Μιρμίγκης Παναγιώτης)
επεξεργασίαΓενικά στοιχεία
επεξεργασίαΤο ADD (Attention-Deficit-Disorder) είναι ένα εργαλείο αντίστροφης ανάλυσης σχεδιασμένο μέσα στα πλαίσια του Shmoocon, ενός συνεδρίου που αφορά τους χάκερς, το 2014. Το συγκεκριμένο εργαλείο δεν έχει κυκλοφορήσει, ούτε είναι προς πώληση. Δημιουργήθηκε με σκοπό να αποδείξει ότι με τον τρόπο λειτουργίας του μπορεί να κάνει του ερευνητές ψηφιακού εγκλήματος να οδηγηθούν σε λάθος συμπεράσματα, είναι δηλαδή αυτό που λέμε "proof of concept". Στα πλαίσια δημιουργίας του, λειτουργούσε μόνο ενάντια σε Windows 7 SP1 x86 συστήματα. Το πρότζεκτ έχει διατεθεί στο Google Code. Ο δημιουργός του εγχειρήματος αυτού (Jacob Williams) είπε ότι πλέον οι ερευνητές ψηφιακού εγκλήματος δεν μπορούν να εμπιστευτούν τα εργαλεία όταν πρόκειται για διερεύνηση αντικειμένων στην προσωρινή μνήμη του υπολογιστή. Επίσης, είπε ότι οι αναλυτές θα πρέπει να επενδύσουν περισσότερο χρόνο στην διερεύνηση ενός εγκλήματος κάνοντας αυτή τη δουλειά χειροκίνητα παρά να χρησιμοποιούν εργαλεία και να γίνεται αυτόματα, κάτι μπορεί να οδηγήσει σε λάθος συμπεράσματα.
Πως λειτουργεί;
επεξεργασίαΚαταρχάς, η προσωρινή μνήμη περιέχει κάποια αρχεία τα οποία ονομάζονται, στιγμιότυπα του υπολογιστή. Σε αυτά τα στιγμιότυπα εμπεριέχονται τα πάντα, οτιδήποτε γίνεται στον υπολογιστή. Επομένως, ένας αναλυτής ψηφιακού εγκλήματος όταν θα χρησιμοποιήσει ένα εργαλείο και να κοιτάξει αυτόματα στην προσωρινή μνήμη του υπολογιστή για στοιχεία του ψηφιακού εγκλήματος θα οδηγηθεί σε λάθος συμπεράσματα αν αυτά τα αρχεία έχουν πειραχτεί. Επίσης, τα κρυπτογραφημένα αρχεία σε έναν σκληρό δίσκο είναι αποκρυπτογραφημένα στην προσωρινή μνήμη του υπολογιστή ώστε να μπορούν να επεξεργάζονται τα στοιχεία αυτά γρήγορα, κάτι το οποίο σημαίνει ότι ένας αναλυτής θα μπορεί να βρει αποκρυπτογραφημένα στοιχεία για κρυπτογραφημένα αντικείμενα. Ακόμα, όπως όλοι γνωρίζεται η προσωρινή μνήμη είναι σημαντικά μικρή σε σχέση με τον σκληρό δίσκο του υπολογιστή. Όπως είναι λογικό δεν αφήνει στον αναλυτή πολλά περιθώρια σε αυτά που μπορεί να ψάξει. Τα στοιχεία που μπορεί να αναζητήσει είναι τα εξής:
- Στοιχεία ανώνυμης περιήγησης
- Ιούς που δρουν μόνο στην προσωρινή μνήμη
- Προσωρινά αρχεία που δεν έχουν γραφτεί στο σκληρό δίσκο
- Κωδικούς σε προγράμματα
- Κωδικούς αποκρυπτογράφησης που χρησιμοποιούνται για να συνδεθούν κρυπτογραφημένοι σκληροί δίσκοι
Όπως είναι λογικό πειράζοντας αυτά τα στοιχεία, ένας αναλυτής μπορεί να οδηγηθεί σε πολύ λάθος συμπεράσματα και η διαδικασία επίλυσης ψηφιακού εγκλήματος να μην ολοκληρωθεί με επιτυχία ή να καθυστερήσει πολύ η επίλυση του. Είναι πολύ δύσκολο να εντοπιστούν τα ψεύτικα αντικείμενα στην προσωρινή μνήμη, εκτός κι αν οι αναλυτές ψάξουν συγκεκριμένα για αυτά. Ακόμα, είναι δυνατό τα ψεύτικα αυτά αντικείμενα να ξεκινήσουν κάτι άλλο, για παράδειγμα όταν ανοιχτούν να πυροδοτούν μια επίθεση στο δίκτυο που βρίσκονται εκείνη τη στιγμή. Όλα αυτά δεν ήταν δυνατό να συμβούν μέχρι το 2014 που παρουσιάστηκε αυτό το εργαλείο. Τέλος, οι αναλυτές θα πρέπει να προσέχουν ιδιαίτερα και να πάντα να επικυρώνουν τα αρχεία που αποσπούν.
Πηγές και παρόμοια εργαλεία
επεξεργασίαΠαρόμοια εργαλεία για όλα τα λογισμικά συστήματα μπορείτε να βρείτε εδώ.
Τρόπος αντιμετώπισης (Memory analysis against anti-forensics)
Συνεντεύξεις του Jacob Williams#1
Συνεντεύξεις του Jacob Williams#2
Attention-Deficit-Disorder Source Code
Memory Forensics
X-Ways Forensics (Ντάντος Πολύκαρπος,Ψύρρα Γεωργία)
επεξεργασίαΕισαγωγή
Σε μια εποχή που είναι σχεδόν αναπόφευκτο η οποιαδήποτε καθημερινή ασχολία να μην συνδέεται με την τεχνολογία, καθώς η εξέλιξή της γίνετε όλο και πιο γρήγορη και οι εύκολες λύσεις που προσφέρει καλύπτουν μια ραγδαίως αυξανόμενη ποικιλία κλάδων, θα μπορούσε να ειπωθεί ότι θα ήταν σχεδόν αδύνατο οι παράνομες και εγκληματικές ενέργειες να μείνουν έξω από την λίστα του εκσυγχρονισμού. Κατανοώντας λοιπόν το γεγονός ότι αρκετές εγκληματικές ενέργειες υποβοηθούνται από τεχνολογικά μέσα και ότι η συλλογή ενοχοποιητικών στοιχείων, μέσω των αναλογικών μεθόδων, δεν είναι αρκετή ή αρκετά γρήγορη αρκετά ιδρύματα αστυνόμευσης κάθε επιπέδου (αστυνομία,εθνική ασφάλεια κλπ) έσπευσαν στον εκσυγχρονισμό των μεθόδων τους και στην απόκτηση των ψηφιακών εργαλείων που θα ήταν απαραίτητα προκειμένου να διευκολυνθεί η εργαστηριακή διεργασία που απαιτείτε στην διαλεύκανση μιας υπόθεσης.
X-WAYS
Μια από τις πιο γνωστές εργαλειοθήκες στον τομέα είναι το X-Ways Forensics καθώς το εύρος των δυνατοτήτων του καλύπτει όλες τις απαιτήσεις ενός σύγχρονου εγκληματολογικού εργαστηρίου. Η X-Ways Software Technology AG αναπτύσσει και εκδίδει άδειες χρήσης για το λογισμικό βάση του γερμανικού νόμου καθώς πέρα από το γεγονός ότι έχει αντιπροσωπίες παγκοσμίως εδραιώνεται νομικά στη Γερμανία. Σύμφωνα με τα λεγόμενα της εταιρίας η αποκλειστική της ενασχόληση είναι η ανάπτυξη και διανομή κάθε είδους ερευνητικού λογισμικού παγκοσμίως και ακόμα και η πρακτική εξάσκηση των χρηστών του λογισμικού.
Δυνατότητες
Στον ιστότοπο της εταιρίας μπορεί κανείς να βρει μια μη ολοκληρωμένη λίστα σχετικά με τις δυνατότητες του λογισμικού. Αυτό που διακρίνεται με μια γρήγορη ματιά είναι το “τρομακτικά” πολυάριθμο εύρος των πιθανών χρήσεων που προσφέρεται στον χρήστη. Από την εικονογράφηση και την ανάλυση ενός δίσκου αποθήκευσης έως την λέξη προς λέξη ανάλυση αρχείων κειμένου ή αρχείων email που έχουν υποστεί ζημιές και δεν μπορούν να διαβαστούν. Οι αλγόριθμοι ανάλυσης του προγράμματος όχι μόνο βρίσκουν στοιχεία που σχετίζονται με τον όρο αναζήτησης που δίνει ο χρήστης αλλά αναζητούν και επιδεικνύουν και άλλα πιθανά σημεία ενδιαφέροντος. Ένα ακόμα βασικό κομμάτι της εργαλειοθήκης είναι οι δυνατότητες ανάλυσης εικόνων. Σε μια εικόνα ή ένα βίντεο από την σκηνή του εγκλήματος το γυμνό ανθρώπινο μάτι μπορεί να μην διακρίνει τίποτα το ιδιαίτερο αλλά με την βοήθεια του προγράμματος μπορούν να αποκαλυφθούν πολλά σημαντικά στοιχεία. Στην μη ολοκληρωμένη λίστα των δυνατοτήτων που δηλώνει η εταιρεία υπάρχει επίσης η δυνατότητα εξαγωγής των metadata από μια συσκευή και η μετατροπή τους σε αναγνώσιμη κωδικοποίηση και η ανάλυση και σύγκριση στοιχείων DNA.
Αδειοδότηση
Ωστόσο δεν θα ήταν επιθυμητό μία ψηφιακή εργαλειοθήκη που χρησιμοποιείτε από μεγάλο πλήθος εγκληματολόγων και γενικότερα οργάνων της τάξης και του νόμου να “πέσει” στα λάθος χέρια για τον οποιονδήποτε λόγο. Έτσι η εταιρία έχει ένα αρκετά μεγάλο εύρος αδειών χρήσης επί πληρωμή,που μπορούν να καλύψουν κάθε ανάγκη,καθώς και μπορεί να υπάρξει περιορισμένη πρόσβαση στο λογισμικό για την κάλυψη ορισμένων χρηστών.
NetworkMiner (Βίδρας Γιάννης - Μελιτζάνης Κώστας)
επεξεργασίαΤο NetworkMiner είναι ένα πρόγραμμα ανάλυσης πρωτοκόλλων δικτύου forensic και μπορεί να χρησιμοποιηθεί σαν παθητικό sniffer ενός δικτύου με στόχο την ανίχνευση και απόσπαση σημαντικών πληροφοριών του δικτύου όπως ανοιχτές πόρτες, λειτουργικά συστήματα, χρήστες, εικόνες, hostnames και λοιπά, χωρίς να παρεμβαίνει καθόλου στο δίκτυο στέλνοντας δικά του πακέτα. Το NetworkMiner είναι ένας αρκετά ανταγωνιστικός αντίπαλος του γνωστού ανοιχτού λογισμικού wireshark αφού μπορεί να αναλύσει και PCAP αρχεία.
Ο στόχος του NetworkMiner είναι περισσότερο να συγκεντρώνει δεδομένα (όπως και εγκληματολογικά πειστήρια αφού και το computing forensic science συγκαταλέγεται στην ανάλυση ψηφιακών εγκλημάτων.) για διαφόρους χρήστες και εξυπηρετητές πάρα να συλλέγει δεδομένα κίνησης του τοπικού δικτύου. Κατά την εκτέλεση του προγράμματος ο χρήστης βλέπει την προεπιλεγμένη λίστα με τους εξυπηρετητές (Servers) αλλά και μια μεγάλη γκάμα από αρχεία, εικόνες, μηνύματα και διαπιστευτήρια
To NetworkMiner μπορεί επίσης να χρησιμοποιήσει OS fingerprinting το οποίο είναι βασισμένο στην ανταλλαγή πακέτων TCP 3-Way Handshake (SYN,SYN-ACK,ACK) χρησιμοποιώντας τις βάσεις δεδομένων του OS fingerprinting από το p0f και το Ettercap. Επίσης NetworkMiner μπορεί να αποστείλει DHPC πακέτα (που είναι συνήθως πακέτα broacast) χρησιμοποιώντας τις OS fingerprinting βάσεις δεδομένων από το FingerBank με την βοήθεια του προγράμματος Satori. Το NetworkMiner συνεργάζεται και με το γνωστό nmap μιας και χρησιμοποιεί την λίστα MAC-vendor.
Τι είναι το OS fingerprinting?
επεξεργασίαΤο OS fingerprinting είναι μια διαδικασία που μας επιτρέπει να προσδιορίσουμε το λειτουργικό σύστημα που χρησιμοποιεί ο εξυπηρετητής σε ένα δίκτυο. Το πρόγραμμα χωρίζεται σε δύο στάδια:
- Το ενεργητικό fingerprinting όπου ονομάζεται η διαδικασία μετάδοσης πακέτων προς τον εξυπηρετητή και η ανάλυση των πακέτων απάντησης.
- Το παθητικό Fingerprinting όπου από την άλλη είναι η διαδικασία ανάλυσης πακέτων από τον εξυπηρετητή σε ένα δίκτυο. Όταν συμβαίνει αυτό, o fingerprinter ενεργεί ως sniffer (ρουφήχτρα) και δεν προκαλεί καμία κίνηση στο δίκτυο.
Το NetworkMiner μπορεί να εξάγει αρχεία τα οποία μεταδόθηκαν στο δίκτυο απλά αναλύοντας PCAP αρχεία ή “ρουφώντας" τα από το δίκτυο. Αυτός ο τρόπος μπορεί να χρησιμοποιηθεί για διάφορους λόγους όπως να εξάγει και να αποθηκεύσει αρχεία πολυμέσων όπως video ή αρχεία ήχου.
Τα πρωτόκολλα που υποστηρίζονται για την εξαγωγή τέτοιων αρχείων είναι το FTP, το HTTP και το SMB. Όπως προαναφέρθηκε το NetworkMiner μπορεί να εξάγει διαπιστευτήρια του χρήστη (όπως usernames και passwords) για τα υποστηριζόμενα πρωτόκολλα, τα δεδομένα που συλλέγει το NetworkMiner με τα διαπιστευτήρια βρίσκεται κάτω από την καρτέλα "Credentials".
Τέλος, ο χρήστης μπορεί να αποθηκεύσει ή να ψάξει δεδομένα με κάποιες κωδικολέξεις που μπορεί να είναι κάποια γραμματοσειρά ή μια σειρά byte. Να σημειωθεί ότι υπάρχει και έκδοση επί-πληρωμή και έχει κάποια extra εργαλεία.
Πηγές
επεξεργασίαEPRB "ElcomSoft Password Recovery Bundle" (Σαββίνα Τελλίδου,Κλόντια Χακάνι)
επεξεργασίαBelkasoft Evidence Center (Κυριακόπουλος Γιώργος, Κυριακόπουλος Ραφαήλ)
επεξεργασίαΤο ηλεκτρονικό έγκλημα, σε μια εποχή όπου η τεχνολογία εξελίσσεται ραγδαία, αυξάνεται σε πολύ μεγάλο βαθμό, δηλαδή κάθε χρόνο πέφτουν θύματα ηλεκτρονικού εγκλήματος κατά εκτίμηση 556 εκατομμύρια άτομα, κάθε μέρα περίπου 1,5 εκατομμύρια άτομα και κάθε δευτερόλεπτο κοντά στα 18 άτομα είναι θύματα ηλεκτρονικού εγκλήματος. Έτσι λοιπόν χρειάζονται τρόποι αντιμετώπισης του προβλήματος, μια μεγάλη βοήθεια δίνεται από τα δικανικά εργαλεία (forensic tools), ένα από αυτά τα εργαλεία είναι και το Belkasoft Evidence Center.
Το εν λόγω λογισμικό αποσκοπεί στο να βοηθήσει κάποιον επαγγελματία κατά βάση να βρει στοιχεία που αφορούν την ανάδειξη μη νόμιμων δραστηριοτήτων, γιαυτό και χρησιμοποείται από διάφορους φορείς, όπως κυβερνητικές οργανώσεις ή ιδιωτικά ερευνητικά γραφεία. Ως εργαλείο είναι κατάλληλο τόσο για εύρεση στοιχείων σε σταθερούς ηλεκτρονικούς υπολογιστές αλλά και για την εύρεση στοιχείων σε κινητά τηλέφωνα, αφού διαθέτει μέσα για να εξορύξει πληροφορίες σχετικά με το γεωγραφικό στίγμα που αφήνουν τα κινητά για παράδειγμα κάθε διάστημα δεκάπεντε λεπτών. Αυτό που κάνει αυτό το λογισμικό τόσο σπουδαίο είναι τα πολλά χαρακτηριστικά που το συνοδεύουν, αυτά αναφορικά είναι ότι δίνει την δυνατότητα εξερεύνησης μιας μεγάλης ποικιλίας λειτουργικών συστημάτων που τρέχουν είτε απευθείας είτε μέσω κάποιας εικονικής μηχανής, ακόμα δίνει την δυνατότητα προσπέλασης του δίσκου και αναγνώρισης αρχείων ακόμα και αν έχουν διαγραφεί ή έχουν υποστεί μερική καταστροφή. Επίσης έχει την δυνατότητα να δέχεται ως είσοδο κάποια φωτογραφία η οποία έχει υποστεί κάποια αλλοίωση ή επεξεργασία και να παράγει ως έξοδο μια εκτίμηση της αρχικής εικόνας, κάνοντας την δουλειά ερευνητών ευκολότερη, ακόμα μπορεί να αναλύει την μνήμη τυχαίας προσπέλασης και να αποκτά έτσι πρόσβαση σε πρόσφατα διαγραμμένα αρχεία ή ιστορικό πλοήγησης και άλλες χρήσιμες πληροφορίες. Είναι ακόμα σε θέση να επεξεργάζεται αρχεία συστήματος και πολλά άλλα. Η Belkasoft εργάζεται και στον τομέα της αντιμετώπισης των "αντίδικανικών εργαλείων" (anti-forensic tools) ή μεθόδων, αυτά τα εργαλεία και οι τεχνικές λαμβάνουν υπόψη το γεγονός ότι κάποια αρχεία θα εξερευνηθούν και σκοπός τους είναι να τα διαγράψουν ή να τα κρύψουν, για παράδειγμα θα μπορούσε να υπάρχει ένα αρχείο που περιέχει μια συνομιλία πολύ σημαντική, μια τεχνική είναι να γίνει αλλαγή της θέσης του αρχείου και να αλλάξει η επέκταση, η λύση βρίσκεται στην δυνατότητα του λογισμικού να κάνει εξερεύνηση των μεσών ψάχνοντας το κάθε δυαδικό ψηφίο, έτσι μπορεί να ξεπεράσει τέτοια προβλήματα. Άξιο αναφοράς είναι ότι στην επίσημη σελίδα στο διαδύκτιο μπορεί κάποιος να βρει πολύ χρήσιμα άρθρα εκμάθησης (tutorials) για την καλύτερη χρήση του λογισμικού, ακόμα και άρθρα από πραγματικές υποθέσεις και πως χρησιμοποιήθηκε το πρόγραμμα για την λύση και την συλλογή αποδεικτικών στοιχείων. Πολύ καλό ρόλο παίζει ακόμα στον τομέα της κρυπτογράφησης, καθώς είναι μια πολύ συχνά εμφανιζόμενη μέθοδος διαφόρων δραστών, δίνει σαφές οδηγίες για την διαχείρηση τέτοιων περιπτώσεων και είναι σε θέση να ανακαλύψει κρυπτογραφημένα αρχεία ακόμα και στα πιο απόκρυφα σημεία.
Το ηλεκτρονικό έγκλημα εν κατακλείδι είναι μια σύγχρονη μάστιγα, η αντιμετώπιση της είναι εφικτή μα συνηθώς είναι χρονοβόρα ή και αδύνατη χωρίς τα κατάλληλα εργαλεία, όταν λοιπόν ένα έγκλημα έχει γίνει πρέπει να εξιχνιαστεί άμεσα, καθώς η ταχεία επίλυση του συναπάγεται με την ασφαλεία ειδικά σε περιπτώσεις όπου το έγκλημα είναι σοβαρό.
Πηγές
επεξεργασίαThe Sleuth Κit(Λανίτης Στράτος,Κυπριανού Μιχάλης)
επεξεργασίαAutomater (Μοροσού Ισιδώρα ,Κουκουμτζή Αικατερίνη)
επεξεργασίαΓενικά
επεξεργασίαΤο Automater είναι ένα εργαλείο που δημιουργήθηκε απο τον "1aN0rmus" για να βοηθά τους αναλυτές-ερευνητές των ηλεκτρονικών εγκλημάτων καθιστώντας τη διαδικασία της ανάλυσης των διευθύνσεων IP, των διευθύνσεων URL, και των Hashes,ευκολότερη.Δεδομένου ενός στόχου (URL, IP, HASH) ή ένα αρχείο το Automater θα επιστρέψει σχετικά αποτελέσματα αφού έχει ψάξει αυτόματα σε site όπως τα ακόλουθα: IPvoid.com, Robtex.com, Fortiguard.com, unshorten.me, Urlvoid.com, Labs. alienvault.com, ThreatExpert, VxVault και VirusTotal.Πριν δημιουργηθεί το Automater η έρευνα ήταν χρονοβόρα και δύσκολη καθώς ο αναλυτής έπρεπε να ψάξει καθε site ξεχωριστά.
Εγκατάσταση
επεξεργασίαΤο Automater είναι γραμμένο σε γλώσσα προγραμματισμού python και λειτουργεί για Linux και Windows. Και στα windows και στα Linux ο κώδικας Python λειτουργεί με την έκδοση Python 2.7.Oι βιβλιοθήκες που απαιτούνται είναι: httplib2, εκ νέου, sys, argparse, urllib, urllib2.
Η χρήση
επεξεργασίαΑφού εγκατασταθεί η χρήση είναι παρόμοια στα windows ,linux και kali .Το Automater προγραμματίζεται από μια σειρα εντολών που είναι διαθέσιμες στο site του προιόντος. Για να τρέξει το automater :Python Automater.py –h
Κάποια βασικά παραδείγματα για τη χρήση είναι :[5]
Για να τρέξει το automater εναντίον μιας ip ,url,hash ή άλλου αρχείου, πληκτρολογούμε: Python Automater.py <target>. [6]
Αναβάθμιση -Sites.xml
επεξεργασίαΤο Automater είναι πλέον πολύ εύκολα επεκτάσιμο, ακόμη και για εκείνους που δεν είναι εξοικειωμένοι με την Python.Η πραγματική δύναμη του Automater είναι το γεγονός οτι μπορεί πολυ εύκολα να τροποποιήσει τις πηγές που ελεγχεί και τα δεδομένα που λαμβάνονται από αυτές, χωρίς να χρειάζεται να τροποποιήσουμε τον κώδικα python.H τροποποιήση των πηγών γίνεται μέσα από το αρχείο sites.xml.Το XML είναι σχετικά ένα αρχείο γνωστό σε όλο τον κόσμο που είναι εύκολα κατανοητό .Ουσιαστικά η αναβάθμιση έγινε όταν ο προγραμματιστης αποφάσισε να προγραμματίσει το automater με την επεκτάσιμη γλώσσα προγραμματισμού xml .Μετα την αναβάθμιση ο κάθε χρήστης έχει τη δυνατοτητα να προσθέσει όλα τα sites στον κώδικα στα οποία αυτός θέλει να ερευνήσει τις ip, URL και τα hashes.
Επίσης μετά την αναβάθμιση το automater δουλεύει και με τη βοήθεια του networksolutions.com [7] ,καθώς χρησιμοποιεί τις βάσεις δεδομένων του.Το networksolutions.com είναι ένα site στο οποίο είναι καταχωρημένα πολλά site του κόσμου,επομένως περιέχει άπειρες πληροφορίες για τον καθένα μας στις βάσεις του.Στη συνέχεια γνωρίζοντας την ip του καταζητούμενου και χρησιμοποιώντας τη δυνατότητα που μας προσφέρειτο networksolution να αντλησουμε πληροφορίες whois,ετσι πληκτρολογώντας για παράδειγμα https://www.networksolutions.com/whois/results.jsp?ip=11.11.11.11 παίρνουμε πληροφορίες όπως netrange,netname,nethandle,nettype,city,country. [8] Για παράδειγμα αν χρειαζόμαστε μόνο το NetName, το NetHandle, και τη χώρα του καταζητούμενου το μόνο που έχουμε να κάνουμε είναι να δημιουργήσουμε κάποιες κανονικές εκφράσεις( regex) και να τις προσθέσουμε στον κώδικα.Ένα παράδειγμα για τα regex που μπορούν να χρησιμοποιηθούν για την έρευνα είναι:
• NetName \: \ s + +.
• NetHandle \: \ s + +.
• Χώρα \: \ s + +.
με τις οποίες θα γίνουν αφηρημένες αναζητήσεις καθώς πλέον γνωρίζουμε τη γενική μορφή τους.Όσο πιο περιοριστική είναι η κανονική έκφραση που χρησιμοποιείται, τόσο καλύτερα θα είναι τα αποτελέσματα. Αυτό είναι μόνο ένα παράδειγμα, αλλά από τη στιγμή που έχετε το regex που χρειάζεστε για να πάρετε τις πληροφορίες που επιθυμείτε, είστε έτοιμοι να τροποποιήσετε το αρχείο sites.xml και να ξεκινήσει η έρευνα για τα νέα δεδομένα. Μπορείτε να κατεβάσετε τον κώδικα απευθείας στο Github .Το Automater δεν είναι ένα ενιαίο αρχείο πια. Το Automater τώρα περιλαμβάνει πολλαπλά αρχεία. Θα πρέπει να υπάρχουν επίσης τα Automater.py, inputs.py, outputs.py, siteinfo.py, utilities.py, και sites.xml στον ίδιο κατάλογο. Επιπλέον, θα πρέπει να τρέξει το Automater μέσω cmd από το ίδιο κατάλογο.
Η έκδοση 2.1
επεξεργασίαΣε αυτή τη καινούρια έκδοση μπορούμε να αλλάξουμε τον πράκτορα χρήστη(user agent)[9] μας και να να κάνουμε αναζητηση της καταζητούμενης ip σε ένα διακομιστή μεσολάβησης(proxy server). Proxy είναι ο διακομιστής μεσολάβησης. Γενικά ένας πελάτης συνδέεται με το διακομιστή μεσολάβησης, ζητώντας κάποια υπηρεσία, όπως ένα αρχείο, σύνδεση, ιστοσελίδα, ή άλλους πόρους που διατίθενται από ένα διαφορετικό διακομιστή. Τώρα ο χρήστης έχει τη δυνατότητα να αλλάξει την εντολή του πράκτορα-χρήστη σύμφωνα με την προτίμήση του, χρησιμοποιώντας την παράμετρο γραμμής εντολών (-a )ή (--agent) ακολουθούμενη από τη συμβολοσειρά που θέλει να χρησιμοποιήσει.Η νέα εντολή έχει τη μορφή για παράδειγμα : python Automater.py 1.1.1.1 -a Mozilla/5.0
Δυνατότητες μεσολάβησης
επεξεργασίαΜια σημαντική τροποποίηση σε αυτή την έκδοση ήταν η συμπερίληψη της δυνατότητας να χρησιμοποιείται ένα σύστημα μεσολάβησης δικτύου(proxy server) για ερευνα,όπως προαναφέρθηκε.Για να ενεργοποιηθεί αυτή τη λειτουργία,χρειάζεται να γραφεί στη γραμμή εντολών η εντολή (--proxy) ακολουθούμενη από τη διεύθυνση και τη θύρα της συσκευής μεσολάβησης(proxy server) που φαίνεται καθώς τρέχει το Automater .Για παράδειγμα, αν o μεσολαβητης δικτύου μου είναι στη διεύθυνση IP 10.1.1.1 και ακούει στη θύρα 8080 θα εκτελέσω το Automater πληκτρολογώντας: python Automater.py 1.1.1.1 --proxy 10.1.1.1:8080
Πηγές
επεξεργασίαDeft Linux (Γεωργιάδου Αναστασία,Μαργαρίτη Θεοφανή-Μιχαλία)
επεξεργασίαKali Linux (Αλέξανδρος Ζανιάς - Νέστωρας Γούλας)
επεξεργασίαΤο Kali Linux είναι ένα λειτουργικό σύστημα βασισμένο στην διανομή Debian.Αν και υπάρχει η δυνατότητα να εγκατασταθεί σε έναν σκληρό δίσκο, ο χρήστης μπορεί να το χρησιμοποιήσει κατευθείαν από ένα CD ή USB flash.To Kali Linux περιέχει πάνω από 300 εργαλεία ελέγχου ασφαλείας. Λόγω των εργαλείων που περιέχει και τις δυνατότητες που προσφέρουν συχνά αποκαλείται το λειτουργικό των hacker.Το Kali είναι το πιο διαδεδομένο λειτουργικό σύστημα για δοκιμές διείσδυσης.
Ιστορία
επεξεργασίαΤο Kali Linux δημιουργήθηκε από την Offensive Security και συγκεκριμένα από τον Mati Aharoni, πρόεδρο και ιδρυτή της Offensive Security, τον Devon Keans και τον Raphaël Hertzog. Ο λόγος δημιουργίας του Kali Linux ήταν η ανάγκη ενός λειτουργικού συστήματος το οποίο θα ήταν προορισμένο για δοκιμές διείσδυσης και προσομοίωση εξειδικευμένων επιθέσεων.Αρχικά η Offensive Security ανέπτυξε το λειτουργικό σύστημα Backtrack μέχρι την κατάργησή του το καλοκαίρι του 2013.Στην συνέχεια ανέπτυξαν το Kali Linux το οποίο και υπάρχει μέχρι και σήμερα.
Forensics Mode
επεξεργασίαΤο Kali Linux διαθέτει την λειτουργία forensics mode στην οποία το λειτουργικό εκτελείται από έναν δίσκο CD ή απο ένα USB flash drive με αποτέλεσμα να μην χρησιμοποιείται ο δίσκος για να είναι δυνατός ο έλεγχος του για τυχόν μεταβολές. Επίσης όταν συνδέεται ένας εξωτερικός σκληρός δίσκων ή ένα CD δεν θα το εμφανίζει στον υπολογιστή εκτός και αν ο χρήστης επιλέξει να το εμφανίσει χειροκίνητα. Η ιδέα πίσω από αυτήν την ενέργεια είναι ο χρήστης να έχει τον απόλυτο έλεγχο του υπολογιστή και οτιδήποτε είναι συνδεδεμένο σε αυτόν.
Εργαλεία forensics
επεξεργασίαΤο Kali Linux περιέχει έναν μεγάλο αριθμό εργαλείων forensics.Μερικά από αυτά είναι τα εξής:
- galleta: Το galleta είναι ένα εργαλείο ανάκτησης των cookies τα οποία δημιουργούνται από τον περιηγητή της Microsoft, Internet Explorer.
- extundelete: Το extundelete είναι ένα εργαλείο το οποίο μπορεί να ανακτήσει διαγραμμένα αρχεία από ext3 ή ext4 διαμορφωμένους δίσκους.
- iPhone-backup-analyzer: Είναι ένα εργαλείο με το οποίο ο χρήστης μπορεί να έχει πρόσβαση στον φάκελο backup ενός iPhone με αποτέλεσμα να μπορεί να υποκλέψει ευαίσθητες πληροφορίες.
- pdgmail: Ένα εργαλείο το οποίο συλλέγει πληροφορίες σχετικά με έναν λογαριασμό gmail. Το πετυχαίνει με το να κάνει αναζήτηση στην μνήμη από την οποία μπορεί να εξάγει φωτογραφίες ,email,διευθύνσεις ΙΡ και άλλα στοιχεία.
- Cuckoo: Είναι ένα σύστημα ανάλυσης malware. Ο χρήστης μπορεί να ανοίξει ένα αρχείο με το cuckoo και αυτό με την σειρά του θα εκτελέσει το αρχείο σε ένα απομονωμένο περιβάλλον και θα επιστρέψει στον χρήστη τα αποτελέσματα από την εκτέλεση του αρχείου.
Πηγές
επεξεργασίαVolatility (Μαυρωνά Κωνσταντίνα - Λάσκος Φίλιππος)
επεξεργασίαΕΙΣΑΓΩΓΗ
Τα Computer Forensics είναι εγκληματολογικά εργαλεία για τους ηλεκτρονικούς υπολογιστές, όπου αναπτύχθηκαν όταν ξεκίνησαν να υπάρχουν πολλαπλά κρούσματα ηλεκτρονικού εγκλήματος, υποκλοπή προσωπικών δεδομένων και άλλα τέτοια εγκλήματα που συνδέονται με τα ψηφιακά μέσα και το διαδίκτυο. Τα εργαλεία αυτά ανήκουν στο κλάδο της ψηφιακής τεχνολογίας και είναι ικανά να επεξεργάζονται τα αποδεικτικά στοιχεία ενός εγκλήματος που βρέθηκαν στον ηλεκτρονικό υπολογιστή και στα υπόλοιπα ψηφιακά μέσα αποθήκευσης. Επίσης, έχουν ως στόχο τον εντοπισμό των γεγονότων και την επεξεργασία των ψηφιακών αυτών πληροφοριών, ώστε να δημιουργηθεί ένας ψηφιακός δρόμος που θα καταλήγει στην εξιχνίαση του εγκλήματος. Ένα από αυτά τα εγκληματολογικά εργαλεία είναι και το Volatility.
ΑΝΑΛΥΣΗ VOLATILITY
To The Volatility Framework κυκλοφόρησε πρώτη φορά το 2007 στο Black Hat DC, που είναι ένα μεγάλο συνέδριο για την ασφάλεια των πληροφοριών σε νέα λογισμικά. Το Volatility είναι ένα ανοικτό λογισμικό που είναι γραμμένο σε γλώσσα προγραμματισμού Python και κυκλοφόρησε ύστερα από μακροχρόνια έρευνα πάνω στην ανάλυση μνήμης και της εγκληματικότητας. Ακόμη, είναι ένα λογισμικό που έκανε το κοινό να εισαχθεί στην ανάλυση ενός εγκλήματος μέσω της ανάλυσης των ψηφιακών μέσων του εγκλήματος, χρησιμοποιώντας αρχεία πού βρέθηκαν στην προσωρινή μνήμη (RAM) τους, είτε σε σύστημα 64-bit είτε σε σύστημα με 32-bit. Χρησιμοποιώντας κανείς το Volatility μπορεί να συλλέξει πληροφορίες σχετικά με τρέχουσες διεργασίες, ανοικτές διαδικτυακές συνδέσεις και διάφορα άλλα. Επιπρόσθετα το Volatility Framework είναι μία από τις πιο διαδεδομένες πλατφόρμες εγκληματολογίας, στον τομέα της, για το λόγο, ότι υποστηρίζεται από μία από τις μεγαλύτερες και πιο διαδεδομένες βιομηχανίες στο χώρο της ψηφιακής εγκληματολογίας. Επίσης το πρόγραμμα και ο πηγαίος κώδικάς του υπόκεινται στην άδεια χρήσης λογισμικού GPL v2 και έχει κατοχηρωθεί από την εταιρεία Volatility και την κοινότητά της. Ακόμη, εάν κάποιος επιθυμεί να συμβάλει στην αναβάθμιση του έργου και στην υποστήριξή του, το καλύτερο που μπορεί να κάνει είναι να συμμετέχει στη βελτιστοποίηση του project με όποιο τρόπο αυτός κρίνει χρήσιμο. Τα λειτουργικά συστήματα με τα οποία είναι συμβατό το πρόγραμμα Volatility είναι τα Windows, Mac OS, Linux καθώς επίσης και Android, μάλιστα η τελευταία έκδοση του προγράμματος υποστηρίζει τις τελευταίες εκδόσεις των παραπάνω λειτουργικών συστημάτων.
Oxygen Forensics Detective (Σέρρης Φίλιππος - Γιάννης Ιωαννίδης)
επεξεργασίαΤο Oxygen Forensics Detective αποτελεί ένα ισχυρό λογισμικό τις οικογένειας Oxygen Forensics. Η λειτουργία του λογισμικού αυτού είναι η δυνατότητα του να μπορεί να εξάγει δεδομένα από διάφορες πηγές. Ποιο συγκεκριμένα το λογισμικό αυτό επιτρέπει στον χρήστη την ανάλυση των επαφών του από μια μεγάλη γκάμα πηγών όπως για παράδειγμα τα μηνύματα, από διάφορες εφαρμογές όπου ανταλλάσει μηνύματα αλλά και τον τηλεφωνικό του κατάλογο. Ακόμα επιτρέπει την εισαγωγή και την ανάλυση δεδομένων από διάφορα αντίγραφα ασφαλείας. Μία επιπλέον ενότητα που διατίθεται προς τον χρήστη είναι το Dictionaries (Λεξικά). Ουσιαστικά το λεξικό αποτελεί μια λίστα με κάθε λέξη που ο χρήστης έχει εισάγει στα μηνύματα,τις σημειώσεις καθώς και το ημερολόγιο. Μια επιπλέον ενότητα που διατίθεται από το Oxygen Forensics Detective είναι η Event Log (Αρχεία Καταγραφή Συμβάντων) η οποία αναφαίρετε στις κλήσης που έχουν πραγματοποιηθεί. Πιο συγκεκριμένα παρουσιάζει τον τύπο κλήσης που πραγματοποιήθηκε,το άτομο με το οποίο έγινε η συνομιλία,την χρονική διάρκεια της κλήσης αλλά και την χρονική στιγμή που πραγματοποιήθηκε αλλά και τον κωδικό τις χώρας όπου ανήκει το άτομο στο οποίο έγινε η κλήση. Χρήσιμο τμήμα του εν λόγο λογισμικού είναι και η ενότητα Phonebook (Τηλεφωνικός Κατάλογος) όπου εκεί περιλαμβάνονται όλες οι επαφές και δύνεται η δυνατότητα στο χρήστη να προστεθούν το email, τα γενέθλια,διάφορες σημειώσεις για το άτομο το οποίο αναφαίρετε στην επαφή αλλά και άλλα για πιο έμπειρους χρήστες όπως για παράδειγμα τα γενέθλια του ατόμου αυτού. Πέρα από την ενότητα του Τηλεφωνικού Καταλόγου υπάρχει και η ενότητα Messages (Μηνύματα) όπου περιέχετε η αλληλογραφία (SMS και MMS) του κάτοχου καθώς και του ηλεκτρονικού ταχυδρομείου και άλλων ανάλογα με το τι χρησιμοποιεί ο χρήστης. Μέσω τις ενότητας αυτής υπάρχει η δυνατότητα ανάκτησης διαγραμμένων μηνυμάτων, η προσαρμογή της διάταξης, η ανάλυση συνημμένων και η εκτύπωση των μηνυμάτων με η χωρίς την παρουσία αυτών. Για την προστασία του χρήστη στο λογισμικό υπάρχει και η ενότητα Spyware. Ο ρόλος αυτής της ενότητας είναι να εντοπίζει αν έχουν εγκατασταθεί κάποια spyware εφαρμογές σε συσκευές Android και Apple και να παρουσιάζει το χρονικό διάστημα το οποίο αυτό συμβαίνει. Το Oxygen Forensics Detective έχει την ικανότητα να αποκτά δεδομένα από 25 διαφορετικές αποθήκες όπως για παράδειγμα το Google Drive, το iCloud, OneDrive, το Dropbox και άλλα. Ακόμα καλύπτει και ένα μεγάλο σύνολο των εφαρμογών κοινωνικής δικτύωσης όπως για παράδειγμα το Facebook και το Instagram. Πέραν των ενοτήτων αυτών υπάρχουν και πολλές άλλες.
Πηγές: https://www.oxygen-forensic.com/en/products/oxygen-forensic-detective/
Registry Recon (Γεροκώστας Βασίλειος - Πάσχος Στέλιος)
επεξεργασίαΠεριγραφή
επεξεργασίαΕργαλεία Foresinc είναι τα εργαλεία με τα οποία προσπαθούμε να βρούμε αποδεικτικά στοιχεία που βρίσκονται σε υπολογιστές ή σε κάποιο άλλο αποθηκευτικό μέσο με κύριο σκοπό την καταπολέμηση του ηλεκτρονικού εγκλήματος, χρησιμοποιώντας όλες αυτές τις πληροφορίες που συλλέξαμε.
Το Registry Recon είναι ένα Foresinc εργαλείο που δημιουργήθηκε από την Arsenal Recon για το λειτουργικό σύστημα Microsoft Windows, με την πρώτη έκδοση του να κυκλοφορεί τον Οκτώβρη του 2014. Το Registry Recon συλλέγει πληροφορίες για τα Registry των αποδεικτικών στοιχείων που θέλουμε να εξετάσουμε, είτε αυτά ήταν ενεργά είτε είχαν διαγραφεί.
Τα Registry είναι ο πυρήνας του λειτουργικού μας συστήματος που θα μπορούσε κάποιος να το χαρακτηρίσει ως μία βάση δεδομένων με όλες τις πληροφορίες του Hardware, του software και των επιπέδων χρηστών του λειτουργικού μας συστήματος. Το Registry Recon έχει αναπτύξει μεθόδους που δεν βασίζονται στα API των Windows, πράγμα που το κάνει και πολύ πιο δυνατό και αποτελεσματικό.
Λόγω των υψηλών δυνατοτήτων του, το Registry Recon δεν είναι δωρεάν και το ποσό που χρειάζεται κάποιος για να το αποκτήσει είναι 599$.
Πηγές
επεξεργασίαHiren's Boot Disc(Νάγια Καραΐσκου, Σπύρου Χρίστος)
επεξεργασίαΠρόλογος
επεξεργασίαΤα εργαλεία ανασυγκρότησης είναι γνωστά και ως bootables Live CDs, εργαλεία διάσωσης κ.α. Όλοι όσοι ασχολούνται με τον τομέα της πληροφορικής έχουν πιάσει στα χέρια τους ένα τέτοιο εργαλείο σε κάποια φάση της ζωής τους. Σε μερικές περιπτώσεις τα χρειαζόμαστε γιατί κόλλησε ο σκληρός δίσκος, σε άλλες για έλεγχο της RAM και σε κάποιες άλλες περιπτώσεις απλά θέλουμε να αντιγράψουμε ένα image. Ο λόγος που αυτά τα εργαλεία είναι διάσημα είναι επειδή οι υπολογιστές αποτελούνται από πολλά μέρη και πολλές φορές δεν μπορούμε να γνωρίζουμε ακριβώς τι δεν δουλεύει σωστά ανεξάρτητα πόσο έμπειροι είμαστε. Σε αυτές λοιπόν τις περιπτώσεις φορτώνουμε το εργαλείο ανασυγκρότησης και αφήνουμε τα forensic tools να μας πουν ποιο είναι ακριβώς το πρόβλημα. Γνωρίζοντας, λοιπόν, τι κάνει ένα Live CD ερχόμαστε να δούμε το πιο διάσημο από αυτά, το Hiren's Boot Disc.
To Hiren's σαν εργαλείο
επεξεργασίαΚατασκευάστηκε, η μάλλον, συγκροτήθηκε στα τέλη της δεκαετίας του 90 από τον Ινδο Hacker Hiren ο οποίος ένωσε αρκετά bootable προγράμματα σε ένα disc. Όσοι δούλευαν με υπολογιστές εκείνη την περίοδο είχαν να πουν ότι το εργαλείο πραγματικά έσωσε πολλοίς υπολογιστές από την καταστροφή. Έχουμε υπόψη ότι ένας μέτριος υπολογιστής στα τέλη του 90 στοίχιζε διπλάσια αποτι σήμερα. Έτσι το Hiren's Boot Disc έγινε παγκόσμια γνωστό και μέχρι σήμερα είναι από τα πιο δυνατά και χρήσιμα εργαλεία ένας ειδικός πρέπει να κατέχει.
Τι κάνει το Hiren's Boot Disc
επεξεργασίαΌταν μιλάμε για Live CD το Hiren's κάνει πραγματικά τα πάντα. Είναι εξοπλισμένο με 200 προγράμματα forensic και είναι σίγουρο οτιδήποτε και αν είναι λάθος στο σύστημα θα το βρει και θα μας ενημερώσει κατάλληλα. Το πρόγραμμα ερχετε με ένα περιβάλλον εργασίας (κι ας είναι bootable) το Mini XP, όπου παρέχει ένα τυπικό περιβάλλον εργασίας για όλα τα εργαλεία. Εκτός από διαγνωστικά εργαλεία το Hiren's προσφέρει δεκάδες άλλα εργαλεία. Αν ψάχνουμε για Partition tools, Data Recovery, Password Bypass, Disc Encryption, Cleaners, Disc Cloners και πολλά άλλα χρήσιμα προγράμματα εδώ θα τα βρούμε μαζεμένα.
Εκδόσεις
επεξεργασίαΟι εκδόσεις που αξίζει να έχουμε στην διάθεσή μας είναι:
Έκδοση 15.2 : Είναι η έκδοση που δημοσιεύτηκε το νοεμβριο του 2012 και περιέχει τα νεότερα προγράμματα που είναι συμβατά ακόμα και για υπολογιστές με Windows 10. Παρόλο που είναι μεγάλο σε ηλικία το version δεν θεωρείτε ξεπερασμένο. Σημαντική εξαίρεση από την γκάμα προγραμμάτων είναι Acronis True Image, Acronis Disc Director, Norton Ghost και Paragon Partition Manager. Αυτά τα προγράμματα εξερεθηκαν από τη λίστα του Hiren's στην 11η εκδοσή.
Έκδοση 10.5 : Είναι η έκδοση που χρησιμοποιείτε περισσότερο από την κοινότητα μέχρι και σήμερα. Δυστυχώς η έκδοση δημοσιεύτηκε τον Ιούνιο το 2010 και όπως είναι λογικό δεν είναι 100% συμβατή με υπολογιστές με Windows 7 και αργότερα.