Digitaal forensisch onderzoek met Kali Linux – Alberto Matus
In de volgende serie blog posts zal ik een aantal van de krachtige tools van Kali Linux op het gebied van digitaal forensisch onderzoek bespreken. Ik heb een aantal platformtests gedaan voor mijn MSc aan USF, en ik hoop een aantal van de details te kunnen delen.
In essentie hoop ik een aantal van de digitale forensische analysetools in het open-source project Kali Linux aan de orde te stellen. Zoals computers zich in de loop der jaren in verschillende opzichten hebben ontwikkeld, heeft ook het landschap van digitale forensische gereedschappen zich ontwikkeld. De diverse organisaties van vandaag hebben vele commerciële marktgereedschappen populair gemaakt onder professionals, elk met hun eigen set van eigendomslicenties en gebruiksbeleid. Vaak vergeten we echter dat er ook gratis open-source tools beschikbaar zijn, met een breed scala aan mogelijkheden. Dergelijke toepassingen worden doorgaans vrijgegeven onder de GNU General Public License (GPL), die bepaalt dat de toepassingen vrij moeten zijn en dat de broncode voor iedereen beschikbaar moet zijn. Deze bloeiende gemeenschap brengt een set van digitale forensische gereedschappen zoals die beschikbaar zijn onder het Kali Linux project. Deze berichten hopen enkele van de deugden en mogelijkheden van deze open-source hulpmiddelen aan het licht te brengen. In geen geval is het een vergelijking met proprietary tools, noch een volledige diepgaande analyse van elke tool, maar eerder een overzicht van de verschillende functionaliteiten en kenmerken die sommige van de tools bezitten.
Synopsis van komende berichten
Met de opkomst van technologie en de afhankelijkheid van deze systemen op alle niveaus, is er een toename van cybercriminaliteit. Dit brengt waarde en belang aan het gebied van digitaal forensisch onderzoek in cybersecurity. Om digitaal forensisch onderzoek te kunnen verrichten, moet men over de juiste instrumenten beschikken. De meeste digitale forensische deskundigen gebruiken een groot aantal commerciële instrumenten en beseffen soms niet dat er alternatieven zijn voor open source-instrumenten. Als gevolg hiervan werd het Kali Linux open-source project onderzocht als een potentiële aanwinst voor het digitale forensische veld met de volgende doelstellingen:
- Installeer, configureer, en gebruik Kali Linux als de digitale forensische omgeving.
- Ontdek de flexibiliteit, kracht en controle van het Kali Linux besturingssysteem als een forensisch platform.
- Beschrijf Kali Linux’s forensische tools.
- Onderzoek de mogelijkheden van Kali Linux als een digitale forensische asset.
- Ontdek en onderzoek zes verschillende tools in de Kali Linux forensische omgeving, waaronder: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools, en volledige case analyse met de Autopsy / SleuthKit.
- Analyseer, voer uit, en begrijp dataverzameling analyse op een stap voor stap benadering van een case.
- Explore en onderzoek de Kali Linux bootable forensische modus.
Doelstelling 1 – Deze doelstelling werd voltooid om deze paper samen met de bevindingen te kunnen presenteren.
Doelstelling 2 – Kali Linux toonde zijn potentiële kracht niet alleen met de digitale forensische tools, maar ook met de grote verscheidenheid aan algemene en penetratietest toepassingen. Als een Linux en open-source platform, liet het de flexibiliteit toe om verschillende pakketten te installeren en te configureren om aan iemands behoeften te voldoen. Dit kon worden gezien in gevallen zoals die van Scalpel, Testdisk / PhotoRec, en Cuckoo. Met de broncode beschikbaar, en toegang tot alle systeembestanden kon men gemakkelijk het hele systeem manipuleren.
Doelstelling 3 – Dit artikel beschrijft enkele van de fundamenten van digitaal forensisch onderzoek, open-source software, en de geschiedenis van het Kali Linux project samen met zijn digitale forensische tools.
Doelstelling 4 – Onderzoek op meer dan zes tools werd uitgevoerd om de mogelijkheden van Kali Linux als een digitale forensische asset te onderzoeken.
Objectief 5 – De gebruikte tools in de verschillende voorgedefinieerde gebieden zijn als volgt:
- Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
- Forensic Imaging – DC3DD, Guymager
- File Carving and Data Recovery – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
- Reporting Tools – Xplico, The Cuckoo Sandbox, Autopsie
- Volledige Case Analysis – The Cuckoo Sandbox, Xplico, Autopsie / The Sleuth Kit. Deze was echter niet volledig opgebouwd om aan elk case scenario te voldoen. Een zeer goede case analyse zou de tijdlijn van dit project hebben kunnen overschrijden. Als zodanig werden alleen de fundamenten onderzocht.
Andere gebieden die werden onderzocht, maar niet in de oorspronkelijke doelstellingen waren:
- Network Forensics – Xplico
- Malware Analysis – The Cuckoo Sandbox
Doelstelling 6 – Gegevensverzameling en analyse werden in de meeste gevallen uitgevoerd. Het is echter mogelijk dat belangrijke stappen in een stapsgewijs proces over het hoofd zijn gezien. Dit kwam doordat veel aandacht werd besteed aan het testen van de mogelijkheden van de verschillende tools.
Objectief 7 – Het doel was om de Live Forensic Mode te gebruiken om artefacten van bestanden en directories te verkrijgen en te analyseren. Na veel onderzoek werd echter vastgesteld dat de mogelijkheden van de Live Forensic Mode dezelfde waren als die welke reeds waren geïnstalleerd op het systeem dat voor de tests werd gebruikt. De Live Forensic mode maakt het in wezen snel en gemakkelijk. Het laadt Kali Linux vooraf met alle forensische software die nodig zou kunnen zijn voor een taak. Het is ook belangrijk op te merken dat wanneer de live forensische modus in werking is, de harde schijf van het systeem waar het wordt opgestart nooit wordt aangeraakt. Er worden ook geen swap-partities gebruikt tijdens dit proces, noch worden verwisselbare media-apparaten automatisch aangekoppeld. In principe zou de forensische modus nergens mee mogen knoeien, tenzij de gebruiker daar specifiek opdracht toe geeft. Uiteindelijk werd dit gezien als een doelstelling waarvan kon worden afgeweken en die kon worden getest met het reeds bestaande geïnstalleerde systeem.