Articles

Cyfrowa kryminalistyka z Kali Linux – Alberto Matus

W następnej serii wpisów na blogu będę omawiał niektóre z narzędzi Kali Linux w dziedzinie cyfrowej kryminalistyki. Przeprowadziłem kilka testów platformy dla mojego magistra na USF, i mam nadzieję podzielić się niektórymi szczegółami.

W zasadzie, mam nadzieję, że zajmę się niektórymi narzędziami analizy cyfrowej kryminalistyki w projekcie open-source Kali Linux. W miarę jak komputery ewoluowały na przestrzeni lat w różnych aspektach, zmieniał się również krajobraz cyfrowych narzędzi kryminalistycznych. Różnorodny zestaw organizacji spopularyzował wiele komercyjnych narzędzi rynkowych wśród profesjonalistów z branży, z których każdy posiada własny zestaw zastrzeżonych licencji i zasad użytkowania. Często jednak zapominamy, że istnieją narzędzia open-source dostępne bezpłatnie i posiadające szeroki zakres możliwości. Takie aplikacje są zazwyczaj wydawane na zasadach Powszechnej Licencji Publicznej GNU (GPL), która wymaga, aby aplikacje były wolne, a kod źródłowy dostępny dla wszystkich. Ta prężnie rozwijająca się społeczność przynosi zestaw narzędzi digital forensic, takich jak te dostępne w ramach projektu Kali Linux. Te posty mają nadzieję wydobyć niektóre z zalet i możliwości tych narzędzi open-source. W żadnym wypadku nie jest to porównanie z prawnie zastrzeżonymi narzędziami, ani kompletna dogłębna analiza każdego narzędzia, ale raczej przegląd różnych funkcjonalności i cech, które niektóre z narzędzi posiadają.

Synopsis nadchodzących postów

Wraz z rozwojem technologii i uzależnieniem od tych systemów na wszystkich poziomach, nastąpił wzrost cyberprzestępczości. Przynosi to wartość i znaczenie dla dziedziny kryminalistyki cyfrowej w cyberbezpieczeństwie. Aby prowadzić cyfrowe śledztwa kryminalistyczne należy wyposażyć się w odpowiedni zestaw narzędzi. Większość ekspertów kryminalistyki cyfrowej korzysta z ogromnej liczby narzędzi komercyjnych i czasami nie zdaje sobie sprawy, że istnieją alternatywne narzędzia typu open source. W związku z tym, projekt Kali Linux open-source został zbadany jako potencjalny atut w dziedzinie cyfrowego kryminalistyki z następującymi celami:

  1. Zainstalować, skonfigurować i używać Kali Linux jako środowisko cyfrowego kryminalistyki.
  2. Poznanie elastyczności, mocy i kontroli systemu operacyjnego Kali Linux jako platformy kryminalistycznej.
  3. Opisanie narzędzi kryminalistycznych Kali Linux.
  4. Zbadanie możliwości Kali Linux jako cyfrowego zasobu kryminalistycznego.
  5. Poznanie i zbadanie sześciu różnych narzędzi w środowisku Kali Linux zawierających: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools, oraz pełną analizę przypadku za pomocą Autopsy / SleuthKit.
  6. Analizuj, wykonaj i zrozum analizę zbierania danych na podstawie podejścia krok po kroku do przypadku.
  7. Poznaj i zbadaj tryb bootowalnego środowiska Kali Linux forensics.

Cel 1 – Ten cel został osiągnięty, aby zaprezentować ten artykuł wraz z wynikami.

Cel 2 – Kali Linux zademonstrował swoją potencjalną moc nie tylko w narzędziach cyfrowej kryminalistyki, ale także w szerokiej gamie zastosowań ogólnych i testach penetracyjnych. Jako platforma linuksowa i open-source, pozwalał na elastyczność w instalowaniu i konfigurowaniu kilku pakietów w celu spełnienia własnych potrzeb. Można to było zaobserwować w przypadkach takich jak Scalpel, Testdisk / PhotoRec i Cuckoo. Z dostępnym kodem źródłowym i dostępem do wszystkich plików systemowych można było łatwo manipulować całym systemem.

Cel 3 – Niniejszy artykuł opisuje niektóre z podstaw kryminalistyki cyfrowej, oprogramowanie open-source oraz historię projektu Kali Linux wraz z jego narzędziami kryminalistycznymi.

Cel 4 – Przeprowadzono dochodzenie na ponad sześciu narzędziach w celu zbadania możliwości Kali Linux jako narzędzia kryminalistycznego.

Cel 5 – Narzędzia użyte w różnych predefiniowanych obszarach są następujące:

  • Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
  • Forensic Imaging – DC3DD, Guymager
  • File Carving and Data Recovery – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
  • Narzędzia do raportowania – Xplico, The Cuckoo Sandbox, Autopsy
  • Pełna analiza sprawy – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. Jednakże, nie była ona w pełni skonstruowana, aby spełnić każdy scenariusz przypadku. Bardzo dobra analiza przypadku mogłaby wykraczać poza ramy czasowe tego projektu. Jako takie, tylko podstawy zostały zbadane.

Inne obszary, które zostały zbadane, ale nie znalazły się w początkowych celach to:

  • Śledztwo sieciowe – Xplico
  • Analiza złośliwego oprogramowania – The Cuckoo Sandbox

Cel 6 – Zbieranie danych i analiza zostały wykonane w większości przypadków. Jednakże, ważne etapy procesu krok po kroku mogły zostać pominięte. Wynikało to z faktu, że wiele uwagi poświęcono na testowanie możliwości różnych narzędzi.

Cel 7 – Celem było wykorzystanie trybu Live Forensic do pozyskania i analizy artefaktów plików i katalogów. Jednakże, po wielu poszukiwaniach okazało się, że możliwości trybu Live Forensic są takie same jak te, które były już zainstalowane na systemie użytym do testów. Tryb Live Forensic zasadniczo czyni rzeczy szybkimi i łatwymi. Preinstaluje on Kali Linux z całym oprogramowaniem Forensic, które może być potrzebne do wykonania zadania. Ważne jest również aby zauważyć, że kiedy tryb live forensic jest w grze, dysk twardy systemu, na którym jest uruchamiany nigdy nie jest dotykany. Ani partycje wymiany nie są używane w tym procesie, ani wymienne urządzenia multimedialne nie są automatycznie montowane. Zasadniczo, tryb Forensic nie powinien manipulować niczym, chyba że użytkownik wyda specjalne polecenie, aby to zrobić. Ostatecznie, było to postrzegane jako cel, który może być odchylony i przetestowany z już istniejącym systemem.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *