Digitale Forensik mit Kali Linux – Alberto Matus
In der nächsten Serie von Blog-Beiträgen werde ich einige der leistungsstarken Tools von Kali Linux im Bereich der digitalen Forensik vorstellen. Ich habe einige Plattformtests für meinen MSc an der USF durchgeführt, und ich hoffe, einige der Details mit Ihnen teilen zu können.
Im Wesentlichen hoffe ich, einige der digitalen Forensik-Analyse-Tools im Open-Source-Projekt Kali Linux anzusprechen. So wie sich Computer im Laufe der Jahre in verschiedenen Aspekten weiterentwickelt haben, hat sich auch die Landschaft der digitalen Forensik-Tools verändert. Die verschiedenen Organisationen haben heute viele Tools auf dem kommerziellen Markt unter Fachleuten populär gemacht, jede mit ihren eigenen proprietären Lizenzen und Nutzungsrichtlinien. Dabei wird jedoch oft vergessen, dass es auch Open-Source-Tools gibt, die kostenlos und mit einer großen Bandbreite an Funktionen verfügbar sind. Solche Anwendungen werden in der Regel unter der GNU General Public License (GPL) veröffentlicht, die vorschreibt, dass die Anwendungen frei sind und der Quellcode für alle zugänglich ist. Diese blühende Community bringt eine Reihe von digitalen Forensik-Tools hervor, wie sie beispielsweise im Rahmen des Kali Linux-Projekts verfügbar sind. Diese Beiträge hoffen, einige der Vorzüge und Fähigkeiten dieser Open-Source-Tools herauszustellen. Es handelt sich dabei keineswegs um einen Vergleich mit proprietären Tools und auch nicht um eine vollständige, tiefgehende Analyse der einzelnen Tools, sondern vielmehr um einen Überblick über die verschiedenen Funktionalitäten und Eigenschaften, die einige der Tools besitzen.
Zusammenfassung der kommenden Beiträge
Mit dem Aufkommen der Technologie und der Abhängigkeit von diesen Systemen auf allen Ebenen ist eine Zunahme der Cyberkriminalität zu verzeichnen. Dies verleiht dem Bereich der digitalen Forensik in der Cybersicherheit Wert und Bedeutung. Um digitale forensische Untersuchungen durchzuführen, muss man mit den richtigen Werkzeugen ausgestattet sein. Die meisten Experten für digitale Forensik verwenden eine große Anzahl kommerzieller Tools und vernachlässigen manchmal, dass es Alternativen in Form von Open-Source-Tools gibt. Aus diesem Grund wurde das Open-Source-Projekt Kali Linux als potenzielle Bereicherung im Bereich der digitalen Forensik mit folgenden Zielen untersucht:
- Kali Linux als digitale forensische Umgebung installieren, konfigurieren und verwenden.
- Erkunden Sie die Flexibilität, Leistungsfähigkeit und Kontrolle des Kali Linux Betriebssystems als forensische Plattform.
- Beschreiben Sie die forensischen Werkzeuge von Kali Linux.
- Untersuchen Sie die Fähigkeiten von Kali Linux als digitales forensisches Hilfsmittel.
- Erkunden und untersuchen Sie sechs verschiedene Werkzeuge in der forensischen Umgebung von Kali Linux, die enthalten: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools und eine vollständige Fallanalyse mit dem Autopsy / SleuthKit.
- Analysieren, durchführen und verstehen Sie die Analyse der Datensammlung anhand einer schrittweisen Annäherung an einen Fall.
- Erkunden und untersuchen Sie den forensischen Modus von Kali Linux.
Ziel 1 – Dieses Ziel wurde erreicht, um diese Arbeit zusammen mit den Ergebnissen zu präsentieren.
Ziel 2 – Kali Linux zeigte seine potentielle Leistungsfähigkeit nicht nur bei den digitalen Forensik-Tools, sondern auch bei der Vielzahl von allgemeinen und Penetrationstest-Anwendungen. Als Linux- und Open-Source-Plattform erlaubte es die Flexibilität, verschiedene Pakete zu installieren und zu konfigurieren, um den eigenen Bedürfnissen gerecht zu werden. Dies zeigte sich z. B. bei Scalpel, Testdisk / PhotoRec und Cuckoo. Mit dem verfügbaren Quellcode und dem Zugriff auf alle Systemdateien konnte man das gesamte System leicht manipulieren.
Ziel 3 – Dieser Artikel beschreibt einige der Grundlagen der digitalen Forensik, Open-Source-Software und die Geschichte des Kali-Linux-Projekts zusammen mit seinen digitalen forensischen Werkzeugen.
Ziel 4 – Es wurde eine Untersuchung von mehr als sechs Werkzeugen durchgeführt, um die Fähigkeiten von Kali Linux als digitales forensisches Werkzeug zu untersuchen.
Ziel 5 – Die verwendeten Tools in den verschiedenen vordefinierten Bereichen sind wie folgt:
- Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
- Forensic Imaging – DC3DD, Guymager
- File Carving and Data Recovery – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
- Reporting Tools – Xplico, The Cuckoo Sandbox, Autopsy
- Full Case Analysis – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. Diese war jedoch nicht vollständig aufgebaut, um jedem Fallszenario gerecht zu werden. Eine sehr gute Fallanalyse hätte den zeitlichen Rahmen dieses Projekts sprengen können. Daher wurden nur die Grundlagen erforscht.
Weitere Bereiche, die erforscht wurden, aber nicht in den ursprünglichen Zielen enthalten waren, waren:
- Netzwerkforensik – Xplico
- Malware-Analyse – The Cuckoo Sandbox
Ziel 6 – Datenerfassung und Analyse wurden in den meisten Fällen durchgeführt. Allerdings wurden möglicherweise wichtige Schritte in einem schrittweisen Prozess übersehen. Dies lag daran, dass viel Wert darauf gelegt wurde, die Fähigkeiten der verschiedenen Tools zu testen.
Ziel 7 – Das Ziel war es, den Live-Forensik-Modus zu verwenden, um Artefakte von Dateien und Verzeichnissen zu erfassen und zu analysieren. Nach vielen Recherchen stellte sich jedoch heraus, dass der Live-Forensik-Modus dieselben Funktionen bietet wie die, die bereits auf dem für den Test verwendeten System installiert waren. Der Live-Forensik-Modus macht die Dinge im Wesentlichen schnell und einfach. Er lädt Kali Linux mit der gesamten forensischen Software vor, die für eine Aufgabe benötigt werden könnte. Es ist auch wichtig zu beachten, dass im Live-Forensik-Modus die Festplatte des Systems, von der gebootet wird, nie berührt wird. Weder werden Swap-Partitionen durch diesen Prozess verwendet, noch werden Wechseldatenträger automatisch gemountet. Im Grunde sollte der forensische Modus nichts manipulieren, es sei denn, der Benutzer hat dies ausdrücklich angeordnet. Letztlich wurde dies als ein Ziel gesehen, von dem abgewichen und mit dem bereits installierten System getestet werden kann.