Articles

Digital Forensics avec Kali Linux – Alberto Matus

Dans la prochaine série de billets de blog, je vais passer en revue certains des outils de fonctionnalités alimentées de Kali Linux dans le domaine de la criminalistique numérique. J’ai fait quelques tests de plateforme pour mon MSc à USF, et j’espère partager certains des détails.

En substance, j’espère aborder certains des outils d’analyse forensique numérique dans le projet open-source Kali Linux. Comme les ordinateurs ont évolué au fil des ans dans différents aspects, le paysage des outils d’analyse judiciaire numérique a également évolué. Les diverses organisations d’aujourd’hui ont popularisé de nombreux outils du marché commercial parmi les professionnels du secteur, chacun avec son propre ensemble de licences propriétaires et de politiques d’utilisation. Cependant, nous oublions souvent qu’il existe des outils à code source ouvert disponibles gratuitement et dotés d’un large éventail de capacités. Ces applications sont généralement publiées sous la licence publique générale GNU (GPL), qui stipule que les applications sont gratuites et que le code source est accessible à tous. Cette communauté florissante apporte un ensemble d’outils de criminalistique numérique tels que ceux disponibles dans le cadre du projet Kali Linux. Ces billets espèrent faire ressortir certaines des vertus et des capacités de ces outils open-source. Il ne s’agit en aucun cas d’une comparaison avec les outils propriétaires, ni d’une analyse complète et approfondie de chaque outil, mais plutôt d’un aperçu des différentes fonctionnalités et caractéristiques que possèdent certains de ces outils.

Synopsis des prochains posts

Avec l’essor de la technologie et la dépendance à ces systèmes à tous les niveaux, on constate une augmentation des cybercrimes. Cela donne de la valeur et de l’importance au domaine de la criminalistique numérique dans la cybersécurité. Pour mener des enquêtes de criminalistique numérique, il faut être équipé du bon ensemble d’outils. La majorité des experts en criminalistique numérique utilisent un grand nombre d’outils commerciaux et négligent parfois de réaliser qu’il existe d’autres outils à code source ouvert. En conséquence, le projet open-source Kali Linux a été examiné comme un atout potentiel dans le domaine de la criminalistique numérique avec les objectifs suivants :

  1. Installer, configurer et utiliser Kali Linux comme environnement de criminalistique numérique.
  2. Explorer la flexibilité, la puissance et le contrôle du système d’exploitation Kali Linux en tant que plateforme forensique.
  3. Décrire les outils forensiques de Kali Linux.
  4. Investir les capacités de Kali Linux en tant qu’atout forensique numérique.
  5. Explorer et étudier six outils différents dans l’environnement forensique Kali Linux contenant : Le hachage, l’imagerie médico-légale, le découpage de fichiers, l’analyse médico-légale du réseau, les outils de rapport et l’analyse complète du cas avec l’Autopsy / SleuthKit.
  6. Analyser, effectuer et comprendre l’analyse de la collecte de données sur une approche étape par étape d’un cas.
  7. Explorer et étudier le mode médico-légal amorçable de Kali Linux.

Objectif 1 – Cet objectif a été réalisé afin de présenter ce document avec les résultats.

Objectif 2 – Kali Linux a démontré sa puissance potentielle non seulement avec les outils de criminalistique numérique, mais aussi avec la grande variété d’applications générales et de tests de pénétration. En tant que plateforme Linux et open-source, elle permettait la flexibilité d’installer et de configurer plusieurs paquets pour répondre à ses besoins. On peut le constater dans des cas comme ceux de Scalpel, Testdisk / PhotoRec, et Cuckoo. Avec le code source disponible et l’accès à tous les fichiers système, on pouvait facilement manipuler l’ensemble du système.

Objectif 3 – Cet article décrit certains des principes fondamentaux de la criminalistique numérique, les logiciels open-source et l’histoire du projet Kali Linux ainsi que ses outils de criminalistique numérique.

Objectif 4 – Une enquête sur plus de six outils a été menée pour étudier les capacités de Kali Linux en tant qu’atout de criminalistique numérique.

Objectif 5 – Les outils utilisés dans les différents domaines prédéfinis sont les suivants :

  • Hachage – Guymager, DC3DD, Autopsy, The Sleuth Kit
  • Imagerie légale – DC3DD, Guymager
  • Découpe de fichiers et récupération de données – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
  • Outils de rapport – Xplico, The Cuckoo Sandbox, Autopsy
  • Analyse complète du cas – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. Cependant, cela n’a pas été entièrement construit pour répondre à tous les scénarios de cas. Une très bonne analyse de cas aurait pu s’étendre au-delà de la chronologie de ce projet. Ainsi, seuls les fondamentaux ont été explorés.

Les autres domaines qui ont été explorés mais qui ne figuraient pas dans les objectifs initiaux étaient :

  • Network Forensics – Xplico
  • Analyse des logiciels malveillants – The Cuckoo Sandbox

Objectif 6 – La collecte et l’analyse des données ont été effectuées dans la plupart des cas. Cependant, des étapes importantes d’un processus étape par étape ont pu être négligées. Cela s’explique par le fait que beaucoup d’attention a été mise de côté pour tester les capacités des différents outils.

Objectif 7 – L’objectif était d’utiliser le mode Live Forensic pour acquérir et analyser les artefacts des fichiers et des répertoires. Cependant, après de nombreuses recherches, il a été constaté que les capacités du mode Live Forensic étaient les mêmes que celles qui étaient déjà installées sur le système utilisé pour les tests. Le mode Live Forensic rend essentiellement les choses rapides et faciles. Il précharge Kali Linux avec tous les logiciels forensiques qui pourraient être nécessaires pour une tâche. Il est également important de noter que lorsque le mode Live Forensic est en jeu, le disque dur du système sur lequel il est démarré n’est jamais touché. Les partitions d’échange ne sont pas utilisées dans le cadre de ce processus et les supports amovibles ne sont pas montés automatiquement. Fondamentalement, le mode forensique ne doit pas altérer quoi que ce soit, sauf si l’utilisateur le demande expressément. En fin de compte, cela a été considéré comme un objectif qui pourrait être dévié et testé avec le système installé déjà existant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *