Articles

Digital Forensics With Kali Linux – Alberto Matus

Na próxima série de posts de blogues vou passar em revista algumas das ferramentas de recurso do Kali Linux no domínio da Medicina Legal Digital. Fiz alguns testes de plataforma para o meu MSc na USF, e espero partilhar alguns dos detalhes.

Na essência, espero abordar algumas das ferramentas de análise forense digital no projecto de código aberto Kali Linux. Tal como os computadores evoluíram ao longo dos anos em diferentes aspectos, também evoluiu a paisagem das ferramentas forenses digitais. O diversificado conjunto de organizações popularizou hoje em dia muitas ferramentas do mercado comercial entre os profissionais da indústria, cada uma com o seu próprio conjunto de licenças proprietárias e políticas de utilização. No entanto, esquecemo-nos muitas vezes de que existem ferramentas de código aberto disponíveis gratuitamente e com uma vasta gama de capacidades. Tais aplicações são geralmente lançadas sob a Licença Pública Geral GNU (GPL) que estipula que as aplicações sejam gratuitas, e que o código fonte esteja disponível para todos. Esta próspera comunidade traz um conjunto de ferramentas forenses digitais tais como as disponíveis no âmbito do projecto Kali Linux. Estes posts esperam trazer à tona algumas das virtudes e capacidades destas ferramentas de código-fonte aberto. De forma alguma é uma comparação com ferramentas proprietárias, nem uma análise completa e aprofundada de cada ferramenta, mas sim uma visão geral das diferentes funcionalidades e características que algumas das ferramentas possuem.

Synopsis of Upcoming Posts

Com o aumento da tecnologia e a dependência destes sistemas a todos os níveis, tem havido um aumento de cibercrimes. Isto traz valor e importância ao campo da medicina legal digital em ciber-segurança. Para realizar investigações forenses digitais é necessário estar equipado com o conjunto de ferramentas adequadas. A maioria dos peritos forenses digitais utilizam um vasto número de ferramentas comerciais e por vezes negligenciam a percepção de que existem alternativas de ferramentas de código aberto. Como resultado disto, o projecto de código aberto Kali Linux foi examinado como um activo potencial no campo forense digital com os seguintes objectivos:

  1. Instalar, configurar, e usar Kali Linux como o ambiente forense digital.
  2. Explorar a flexibilidade, poder e controlo do sistema operativo Kali Linux como plataforma forense.Descrever as ferramentas forenses do Kali Linux.Investigar as capacidades do Kali Linux como activo forense digital.Explorar e investigar seis ferramentas diferentes no ambiente forense do Kali Linux que contém: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools, e análise completa de casos com o Autopsy / SleuthKit.

  3. Analisar, executar, e compreender a análise da recolha de dados numa abordagem passo a passo de um caso.
  4. Explorar e investigar o modo de pesquisa forense de arranque do Kali Linux.

Objectivo 1 – Este objectivo foi completado a fim de apresentar este trabalho juntamente com os resultados.

Objectivo 2 – Kali Linux demonstrou o seu poder potencial não só com as ferramentas forenses digitais mas também com a grande variedade de aplicações gerais e de testes de penetração. Como plataforma Linux e open-source, permitiu a flexibilidade de instalar e configurar vários pacotes para satisfazer as necessidades de cada um. Isto podia ser visto em casos como os de Scalpel, Testdisk / PhotoRec, e Cuckoo. Com o código fonte disponível, e o acesso a todos os ficheiros do sistema, podia-se facilmente manipular todo o sistema.

Objectivo 3 – Este artigo descreve alguns dos fundamentos da forense digital, software de código aberto, e história do projecto Kali Linux juntamente com as suas ferramentas forenses digitais.

Objectivo 4 – A investigação sobre mais de seis ferramentas foi conduzida para investigar as capacidades do Kali Linux como um activo forense digital.

Objectivo 5 – As ferramentas utilizadas nas diferentes áreas pré-definidas são as seguintes:

  • Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
  • Forensic Imaging – DC3DD, Guymager
  • File Carving and Data Recovery – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
  • Ferramentas de Reporte – Xplico, The Cuckoo Sandbox, Autopsy
  • Análise de Caso Completo – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. No entanto, esta não foi totalmente construída para satisfazer todos os cenários de caso. Uma análise de casos muito boa poderia ter-se expandido para além da linha temporal deste projecto. Como tal, apenas os fundamentos foram explorados.

Outras áreas que foram exploradas mas não nos objectivos iniciais foram:

  • Forense de Rede – Xplico
  • Análise de Malware – The Cuckoo Sandbox

Objectivo 6 – A recolha e análise de dados foram realizadas na maioria dos casos. No entanto, fases importantes num processo passo a passo podem ter sido negligenciadas. Isto deveu-se ao facto de se ter colocado muito de lado para testar as capacidades das diferentes ferramentas.

Objectivo 7 – O objectivo era utilizar o Modo Forense Vivo para adquirir e analisar artefactos de ficheiros e directórios. Contudo, após muita investigação, verificou-se que as capacidades do Modo Forense em Directo eram as mesmas que já estavam instaladas no sistema utilizado para testes. O Modo Forense Vivo torna as coisas essencialmente rápidas e fáceis. Ele pré-carrega o Kali Linux com todo o software forense que possa ser necessário para uma tarefa. É também importante notar que quando o modo forense ao vivo está em jogo, o disco rígido do sistema onde está a ser inicializado nunca é tocado. Nem são utilizadas partições de troca através deste processo, nem são montados dispositivos de media amovíveis montados automaticamente. Basicamente, o modo forense não deve mexer em nada, a menos que seja especificamente orientado pelo utilizador para o fazer. Em última análise, isto foi visto como um objectivo que poderia ser desviado e testado com o sistema já existente instalado.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *