"Nejkrásnejší na světe nejsou věci, ale okamžiky."
Karel Čapek

"The only limitations you have are the ones you set yourself."
neznámy autor

"Cenu má iba cesta. Len ona trvá, kdežto cieľ je ilúzia pútnika, kráčajúceho po hrebeni, akoby zmysel bol v dosiahnutom cieli."
Antoine de Saint-Exupéry

Overiť CSS!

Overiť HTML 4.01 Transitional!

Táto sekcia je zameraná na IT technológie, ktoré ma najviac počas štúdia oslovili a pojednáva aj o hľadisku ich bezpečnosti. Jedná sa o nasledovné:


Crackovanie WIFI - WEP

V prvom rade by som chcel zdôrazniť, že cieľom zverejnenia dokumentu o crackovaní WIFI nie je poskytnutie návodu ako sa susedovi nabúrať do siete, ale to, aby si ľudia uvedomili, že je dôležité mať poriadne zabezpečenú domácu sieť. Daný text je ústrižkom zo seminárnej práce na fakulte, kde sme testovali bezpečnosť bezdrôtových sietí. Ide o jeden z množstva postupov, kde som vynechal teóriu (ktorej je kvantum na Internete) a sústredím sa čisto na praktické hľadisko.

Technické a programové prostriedky
  • Prístupový bod (AP), napr.: D-Link AirPlus 900AP+ pracujúci v pásme 2,4 GHz (128b WEP)
  • PC s OS Linux (napr. distribúcia Fedora) s internou bezdrôtovou sieťovou kartou
  • Aircrack pre OS Linux
  • Macchanger - útok na filtrovanie MAC adries
Útok na sieť pomocou aircrack

Aircrack je nástroj vyvinutý Christopherom Devinom a obsahuje 4 utility:
  • airdump – bezdrôtový sniffovací nástroj pre odhalenie WEP sietí
  • airmon – skript vytvorený pre nastavenie bezdrôtovej karty na monitorovací režim
  • aireplay – injekčný nástroj pre zvýšenie sieťovej prevádzky
  • aircrack – nástroj na crackovanie kľúčov WEP využívajúci zozbierané jedinečné IV
Keďže v laboratórnom pokuse sa medzi AP a PC kopíruje veľké množstvo údajov, tak nepotrebujeme využiť aireplay.

  1. Najprv musíme zistiť, že či je AP v dostatočnej vzdialenosti od počítača:
    • urobíme tak príkazom iwlist wlan0 scan | grep SSID
    • výstupom príkazu je zoznam mien dostupných bezdrôtových sieti
    • nájdeme medzi nimi našu hľadanú sieť, v našom prípade ESSID:“BDKS – test“
    iwlist

  2. Musíme prepnúť sieťovú kartu na monitorovací režim, keďže v normálnom režime vidíme iba pakety, ktoré sú nám adresované alebo idú od nás. V monitorovacom režime môžeme vidieť pakety v±etkých bezdrôtových sietí:
    • použili sme na to príkaz airmon-ng start wlan0
    • vypíše sa nám monitor mode enabled on mon0
    • pozor, niektoré sieťové karty nepodporujú monitorovací režim!
  3. Následne chceme zistiť údaje o našej bezdrôtovej sieti. Dôležité sú MAC adresa BSSID, kanál na ktorom vysiela a typ zabezpečenia:
    • použili sme príkaz airodump-ng mon0
    • na cvičení sme z výstupu zistili, že MAC adresa siete je 00:0D:88:EB:00:3E, že sieť je na šiestom kanály, že jej zabezpečenie je WEP a pripojené počítače, ktorých MAC adresy môžeme neskôr využiť na obídenie filtra, majú MAC adresy 00:1D:4F:FC:B7:C5 a 78:E4:00:16:42:9F
    • výstup vyzeral nasledovne:
    airodump-ng

  4. Teraz začneme odchytávať pakety siete, ktorú chceme cracknúť:
    • použili sme príkaz airodump-ng -c 6 --bssid 00:0D:88:EB:00:3E -w dump mon0
    • kde prepínač "c" označuje kanál a "w" súbor, do ktorého sa pakety začnú zachytávať
  5. Teraz, keď sme uznali, že počet rámcov by mohol byť dostatočný (odporúčanie – 40000), tak spustíme aircrack:
    • použili sme príkaz aircrack-ng dump.cap
    • ak bol príkaz úspešný, tak sa nám podarilo zistiť heslo siete
    • ak nebol príkaz úspešný, tak môžeme skúsiť zachytiť väčšie množstvo paketov
    • môžeme použiť potom príkaz na ich zlúčenie: mergecap -w out.cap test1.cap test2.cap test3.cap
    aircrack-ng

  6. Sieť má nastavené filtrovanie MAC adries. K sieti môžu pristupovať iba zariadenia s MAC adresami, ktoré sme našli vďaka 3. bodu. Našim ciežom je teraz zamaskovať našu MAC adresu jednou z týchto dvoch, ktoré pristupujú k AP bez problémov. Urobíme tak pomocou nástroja macchanger:
    • najskôr musíme zhodiť interface pomocou príkazu ifconfig wlan0 down
    • použili sme príkaz macchanger -m 00:1D:4F:FC:B7:C5 wlan0
    • teraz musíme interface zapnúť pomocou príkazu ifconfig wlan0 up
    • a na výstupe sa nám zjavil zoznam pravej a nepravej MAC adresy:

    macchanger

  7. Ak všetko išlo ako malo, tak sa vám podarilo pripojiť do siete! Občas sa môže stať nasledovné:
    • heslo je v hexadecimálnom tvare (napr. 0A:0B:0C:0D:0E), potom odporúčam tento článok
    • nezachytili ste dostatok inicializačných vektorov - IVs
    • v tomto prípade môžete skúsiť útok pomocou utility aireplay - bližší popis v časti WPA


Crackovanie WIFI - WPA

Crackovanie WEP sa s WPA extrémne líši, keďže WEP nie je už bezpečné zabezpečenie pre bezdrôtové siete z dôvodu, že je prelomené. WPA je silnejšie zabezpečenie a voči ešte sinejšiemiu zabezpečeniu WPA2 sa líši tým, že je teoreticky prelomiteľné. O WPA2 sa zatiaľ hovorí ako o neprelomiteľnom šifrovaní (skutočne len zatiaľ). WPA je preto teoreticky prelomiteľné zabezpečenie, lebo je potrebné zaútočiť slovníkovým útokom (alebo útokom generovania hesiel). Okrem toho WPA a WPA2 sa dajú cracknúť len keď sa zachytí 4-cestný handshake, ktorý sa používa pri autorizácii používateľa s access pointom. Bez jeho zachytenia nie je možné prelomiť ochranu siete. 4-cestný handshake sú pakety, ktoré slúžia na autentifikovanie a je ich možné zachytiť iba pri pripájaní zariadenia. Na zvýšenie šance zachytenia sa používa nástroj aireplay, ktorý deautentifikuje uzol a tým ho prinúty k opätovnej autentifikácii. Pri crackovaní WPA nie je podstatný počet inicializačných rámcov (IVs), ale je nutné zachytiť iba práve 4-cestný handshake.
  1. Začiatok postupu je úplne rovnaký ako pri crackovaní WEP:
    • použijeme všetky príkazy až po (vrátane): airodump-ng -c 9 --bssid 00:22:15:1D:D7:0B -w subor mon0
    • teraz keď zachytávame rámce, použijeme na ďalšom terminály príkaz aireplay-ng -0 1 -a 00:22:15:1D:D7:0B -c 78:E4:00:16:42:9F mon0, ktorým spôsobíme reautentifikáciu uzla s AP
    • parameter -0 znamená deautentifikáciu a za ním idúce číslo 1 znamená počet deautentifikácií, ktoré sa za sebou vyšlú
    • MAC adresa idúca za prepínačom „a“ je fyzická adresa access pointu
    • MAC adresa idúca za prepínačom „c“ je fyzická adresa klienta (client) – zariadenia pripojeného k AP
    • nájdenie štvorcestného handshake-u pomocou airodump a aireplay:

    aireplay

  2. Teraz, keď sa nám podarilo odhaliť WPA handshake, tak si vytvoríme slovník s predpokladanými heslami alebo si jednoducho stiahneme slovník z Internetu - ideálne slovenský slovník.
    • na cvičení sme vytvorili súbor pokus.lst s heslami informatik, univerzita, akademicky
    • na cracknutie sme použili nasledovný príkaz: aircrack-ng -w pokus.lst -b 00:22:15:1D:D7:0B psk-01.cap
    • kde psk-01.cap je súbor so zachytenými paketmi pomocou airodump
    • ak sa nám nepodarí cracknúť sieť, tak sa vypíše správa „Passphrase not in dictionary“
    • ak sa nám podarí cracknúť sieť, tak sa vypíše heslo k prístupu na sieť (pojem zo slovníka)
    • heslo v našom prípade bolo „univerzita“:

    aircrack

  3. Nie vždy sa podarí cracknúť sieť. Príčiny možu byť rôzne:
    • zabezpečenie WPA nemusí byť len PSK (pre-shared key) ako sme s tým rátali, keďže PSK je pre domáce použitie
    • WPA môže využívať autentizačný server (RADIUS), ktorý generuje každému používateľovi iný kľúč (pomerne nákladné riešenie – ideálne pre firmy)
    • WPA je možné zabezpečovať pomocou šifrovania AES, ktoré využíva WPA2 a ide zatiaž o necracknutežné šifrovanie
    • najpravdepodobnejšie však je, že sa heslo (passphrase) nenachádza v súbore s heslami

Forenzné nástroje na zber nestálych digitálnych dôkazov

Ide o digitálne dôkazy, ktoré sú volatilné, po odpojení napájania sa napríklad operačná pamäť vymaže. Tieto digitálne dôkazy je omnoho problematickejšie analyzovať, keďže stačí ak podozrivý vypne počítač, tak potom údaje z pamäti RAM sú nedostupné. Zdroje volatilných digitálnych dôkazov sú nasledovné:
  1. pamäť RAM
  2. konfigurácia siete
  3. sieťové spojenia
  4. bežiace procesy
  5. login session
  6. čas operačného systému
Proces forenznej analýzy

Proces forenznej analýzy [1] možno zhrnúť do nasledujúcich základných štyroch fáz:
  • Zber dôkazov - Prvou fázou procesu je identifikovať, pomenovať, zaznamenať a zhromaždiť dáta z možných zdrojov relevantných dát, pričom treba dodržovať smernice a procedúry, ktoré zaisťujú integritu daných dát. Zber dôkazov je zvyčajne vykonávaný čo najskôr kvôli vysokej pravdepodobnosti straty dynamických dát ako napr. aktuálne sieťové pripojenie a taktiež kvôli strate dát zo zariadení napájaných batériou (napr. mobilné telefóny, PDA zariadenia).
  • Skúmanie dôkazov - Skúmanie zahŕňa forenzné spracovanie rozsiahleho množstva dát využitím kombinácie automatizovaných a manuálnych metód na stanovenie a vytiahnutie dát príslušného záujmu, pričom je dodržaná integrita dát.
  • Analýza dôkazov - Ďalšou fázou procesu je analyzovať výsledky skúmania dát využitím legálnych oprávnených metód a techník na získanie užitočných informácií, ktoré poskytujú odpovede na otázky, ktoré boli impulzom pre vykonávanie zberu a skúmania dôkazov.
  • Prezentácia výsledkov - Finálnou fázou je prezentovanie výsledkov analýzy, ktoré môže zahŕňať opis použitých postupov, vysvetlenie ako boli jednotlivé nástroje a procedúry vybrané, určenie aké ďalšie kroky je potrebné vykonať (napr. forenzné preskúmanie dodatočných dátových zdrojov, zabezpečenie identifikovaných zraniteľných miest systému, zlepšenie existujúceho riadenia bezpečnosti) a poskytnutie odporúčaní na zlepšenie bezpečnostných politík, smerníc, procedúr, nástrojov a iných aspektov procesu forenznej analýzy. Formálnosť prezentácie výsledkov sa výrazne odlišuje vzhľadom na danú situáciu.
Základné forenzné nástroje pre volatilné digitálne dôkazy

V nasledujúcej tabužke [2] je zoznam základných nástrojov, ktoré je možné použiť pre zber volatilných (aj niektorých nevolatilných) digitálnych dôkazov a väčšina z nich sa nachádza defaultne v operačnom systéme Linux a operačnom systéme Windows.

Základné forenzné nástroje


Pokročilé forenzné nástroje pre volatilné digitálne dôkazy

V reálnom použití forenzný vyšetrovateľ počas zisťovania volatilných digitálnych dôkazov pravdaže nepríde k podozrivému počítaču a nezačne postupne písať príkazy do príkazového riadku ako systeminfo a netstat, ale vloží do mechaniky počítača napríklad Helix CD, ktoré má v sebe zakomponovaných niekoľko týchto príkazov a jediným stlačením tlačidla sa vykonajú všetky tieto príkazy a uloží sa auditný záznam o výsledkoch na USB kľúč vyšetrovateľa. Keďže volatilných digitálnych dôkazov je veľké kvantum, tak aj podľa toho som rozdelil túto stať. Zameral som sa najmä na sieťové digitálne dôkazy, RAM dôkazy a procesy.

Forenzné nástroje na zber a vyhodnocovanie digitálnych dôkazov siete

Sieť nám poskytuje veľké množstvo nestálych digitálnych dôkazov. Pomocou nich je napríklad možné zistiť posielanie tajných alebo dôverných údajov organizácie na iný počítač alebo aj útočníka, ktorý kradne z organizácie informácie. Na to nám slúžia sniffre ako napríklad NetworkMiner.

NetworkMiner

Najlepším freeware-ovým nástrojom na zber a vyhodnocovanie digitálnych dôkazov na sieti je NetworkMiner. Je to sieťový sniffer, ktorý sa radí do kategórie nástrojov na forenznú sieťovú analýzu (Network Forensic Analysis Tool (NFAT)). Je určený prioritne pre operačný systém Windows, ale pomocou programu Wine ho je možné sprevádzkovať aj pod operačným systémom Linux. NetworkMiner je možné použiť nielen na analýzu rámcov, ktoré idú cez sieť, ale takisto na analýzu súborov, v ktorých je zachytená sieťová prevádzka (pcap súbory). Hlavným dôvodom prečo vytvoril forenzný vyšetrovateľ Erik Hjelmvik program NetworkMiner je, že bolo pomerne jednoduché nájsť viacero nástrojov na odchytenie a analýzu rámcov (Ethereal, Wireshark, OmniPeek), ale tieto nástroje zobrazujú čisto dáta v paketoch a je problematická a zdĺhavá analýza ich obnovy, kdežto výtvor Erika Hjelmvika sa viac zameriava na úroveň hostov a údajoch o nich. Program NetworkMiner vie do istej mieri zrekonštruovať údaje, ktoré zachytil na sieti, respektíve údaje zachytené v pcap súbore. Dokáže spraviť výťah súborov zo zachytenej sieťovej premávky s protokolmi ako HTTP, FTP, TFTP a SMB. NetworkMiner umožňuje z analýzy pcap súboru (alebo online analýzy dát na sieti) zistiť nasledovné informácie:
  • údaje o hostovi: MAC adresu s IP adresou, operačný systém, meno hosta, otvorené TCP porty, údaje o odoslaných a prijatých paketoch daného hosta, príchodzie a odchodzie relácie (sessions) daného hosta, informácie o webovom prehliadači
  • základné informácie o rámcoch – MAC adresy, IP adresy a protokoly
  • prenesené súbory (dokáže napríklad poskladať z rámcov pôvodný obrázok, web stránku,...)
  • zobrazenie obrázkov, ktoré host preniesol cez sieť
  • prihlasovacie údaje
  • správy
  • relácie
  • údaje o DNS
  • HTTP Cookies
  • čistý text a anomálie pri prenose
NetworkMiner zobrazí aj konkrétne hodnoty prihlasovacích údajov. Ak ide o jednoduchšie typy protokolov, ktoré umožňujú autorizáciu ako HTTP a FTP, tak sa zobrazí konkrétne prihlasovacie meno a heslo. Ak ide o šifrované metódy HTTPS a SFTP, tak sa údaje nedajú z nástroja zistiť. Pokus som robil pre stránky is.stuba.sk, centrum.sk, zoznam.sk a post.sme.sk, kde z posledných dvoch menovaných som po zadaní údajov zistil pomocou nástroja NetworkMiner prihlasovacie meno a heslo, ktoré som zadal do prehliadača. Portál is.stuba.sk a centrum.sk využívajú šifrovanie pomocou protokolu HTTPS a tak nebolo možné zistiť prihlasovacie heslo. Ďalší pokus som spravil pre protokoly FTP a SFTP, konkrétne išlo o môj server s ktorým som komunikoval cez FTP a študentský server, na ktorý som posielal data cez SFTP. Keď išlo o šifrovanie pomocou protokolu SFTP, tak som nemohol zistiť heslo pripojenia, ale keď som skúšal protokol FTP, tak som sa k heslu dostal pomocou NetworkMiner sniffra.

NetworkMiner ma prekvapil pravdepodobne najviac v tom, že dokáže zrekonštruovať obrázky a najmä aj súbory, ktoré boli posielané cez sieť. Tu som spravil pokus so surfovaním na Internete a potom som chcel zistiť čo sa dá obnoviť z týchto zachytených paketov. A zistil som, že tento program toho dokáže skutočne veľa. Dokáže obnoviť jednotlivé súbory poslané cez sieť ako sú napríklad obrázky, ale aj konkrétne webové stránky a dokumenty ako doc, docx, odt. Musí, ale pravdaže ísť o nešifrované pripojenie ako je http.

Sietove forenzné nástroje


NetworkMiner poskytuje aj zobrazenie konkrétnych obrázkov v malých rozmeroch, čím môže forenzný vyšetrovateľ v rýchlosti analyzovať obrázky poslané cez sieť a nemusí ich otvárať v samostatnom okne:

Sietove forenzné nástroje


NetworkMiner zobrazí aj prihlasovacie údaje, ktoré boli prenesené pomocou jednoduchých metód:br>
Sietove forenzné nástroje


Tento nástroj poskytuje aj základné informácie o hostoch, ktorí posielali pakety cez sieť. Vieme zistiť ich IP adresy, OS, MAC adresy (aj keď tu ide v prípade testu cez Internet o posledný router, cez ktorý išiel paket), otvorené porty a relácie, ktoré mali jednotlivé počítače vytvorené medzi sebou. Informácie o OS vie tento program zistiť najmä vďaka nástroju Satori, ktorý je jeho súčasťou a využíva OS fingerprinting:br>
Sietove forenzné nástroje


NetworkMiner nemá dokonca ani problém zrekonštruovať komunikáciu cez nejaký instant messanger - cez AOL (america online) messanger (ako je napríklad ICQ, ktoré využíva protokol Oscar). Programom vieme zistiť komunikujúcich používateľov, ich IP adresy a hlavne text správy, ktorý je vo forme HTML posielaný cez sieť.br>
Sietove forenzné nástroje


Wireshark

Wireshark (predtým nazývaný Ethereal) je voľne dostúpný open-source sieťový analyzátor paketov, ktorý je dostupný pre platformu Windows a aj Linux. Umožňuje zachytiť pakety a analyzovať ich. Taktiež je možné pomocou Wiresharku robiť analýzu na pcap súbore. Narozdiel od nástroja NetworkMiner je zložitejší (keďže neponúka priamo výstupy z komunikácie na sieti), ale zobrazuje pakety do úplnej protokolovej hĺbky.

Sietove forenzné nástroje


Mojim pokusom pri programe Wireshark bolo obnoviť súbor poslaný cez sieť čisto len z paketov ako to robí aj program NetworkMiner a podarilo sa mi to. Bolo treba nájsť začiatok prenosu súboru, pravým stlačením myši zvoliť Follow TCP stream, uložiť v RAW formáte a z tohto súboru zmazať hlavičku (ktorá končila tam kde sa nachádzalo magické číslo tohto súboru). Po otvorení sa mi podarilo tento súbor zrekonštruovať. Samozrejme, ale takáto rekonštrukcia súborov je nesmierne jednoduchšia v programe NetworkMiner, ktorý tieto kroky robí automaticky za nás.

Microsoft Network Monitor 3.4

Zaujímavým nástrojom je aj Network Monitor, ktorý vytvára Microsoft od roku 2006 a je voľne stiahnuteľný. Je určený v prvom rade pre používateľov, ktorí chcú zistiť viac informácií o komunikácii na sieti (napríklad aké procesy komunikujú cez sieť), ale taktiež ide o dobrý nástroj pre analýzu paketov. Do istej hĺbky zobrazuje aj protokoly vnorené v pakete a v prípade WIFI zobrazuje aj údaje o riadiacom beacone, SSID siete, silu signálu a aj kanál na ktorom sieť komunikuje. Network Monitor sa dá taktiež použiť nielen na realtime analýzu komunikácie na sieti, ale aj na postanalýzu zachyteného pcap súboru (napríklad aj z Wiresharku alebo nástroja NetworkMiner).

Sietove forenzné nástroje


Helix CD

Jedná sa o platený softvér umiestnený na CD disku, ktorý má v sebe zabudovaných veľmi veľa forenzných nástrojov. Je určený nielen na forenznú analýzu volatilných digitálnych dôkazov, ale taktiež aj pre nevolatilné digitálne dôkazy. Používajú ho forenzní vyšetrovatelia na mieste činu, keďže je jednoduchšie spustiť jeden program z disku ako niekoľko programov z počítača. Poskytuje možnosť uloženia záznamu so zisteniami a taktiež umožňuje auditné záznamy počítača. Program hneď po spustení vypíše údaje o počítači, ktoré vkladá ako hlavičku do záznamu o vyšetrovaní. Helix CD dokáže zobraziť práve bežiace procesy vrátane ich umiestnenia a pritom on medzi nimi nefiguruje, čím je záznam „čistejší“.

helix


Veľmi ma prekvapila aj presná rekonštrukcia času, kedy bol počítač zapnutý, na ktorú využil Helix CD externý program Pc on/off time. Helix CD využíval viacero externých programov, ktoré slúžia na forenznú analýzu a rozširujú tak jeho možnosti.

helix


Program ma sklamal najmä v tom, že pri verzii 2.0 nebolo možné spustiť takmer žiadny externý program pod operačným systémom Windows 7, na rozdiel od OS Windows XP, pod ktorým išiel Helix CD bez problémov a na ktorom som ho práve testoval.

Ďalšou funkciou Helix CD bol program WinAudit, ktorý ma prekvapil zrejme zo všetkého najviac, keďže poskytuje neuveriteľné kvantum informácií o počítači ako napríklad, že vypisuje zoznam otvorených portov počítača a služieb, ktoré tieto porty využívajú. Je možné zistiť taktiež naplánované úlohy, uptime systému, používateľov v systéme s konkrétne ich právami na jednotlivé úlohy, nainštalované programy, počet prihlásení, odhlásení používateľov s výpisom bezpečnostnej politiky pre ich kontá, nastavenie firewall, jeho výnimky a rôzne ďalšie veci.

helix


Pri nástroji Helix CD som sa zameral najmä na pamäť RAM, jej záznam a aj analýzu. Na zachytenie pamäti RAM využíva Helix CD príkaz dd, ktorý externe zavolá a vloží mu ako parametre:
  • typ pamäte (umožňuje záznam nielen fyzickej ale aj logickej pamäti a konkrétnej partície),
  • miesto kam sa má obraz pamäti uložiť,
  • názov súboru
  • a noerr konverziu, ktorá v prípade chyby, pokračuje v zázname a chybu nerieši
helix


Na urobenie image-u pamäte sa dá použiť aj len nasledovný príkaz:
dd if=/dev/mem of=obraz.img
kebyže robím image disku, tak môžem použiť tento príkaz:
dd if=/dev/std of=obraz.img


Odkazy a bibliografia

[1] Forensic analysis: Kompletný sprievodca problematikou:
http://labss2.fiit.stuba.sk/TeamProject/2006/team23/projekt-WWW/
[2] Forensic Analysis of Volatile Data Stores, Vidas Tim: Prezentácia z konferencie CERN 2006, ktorá sa taktiež venuje práve volatilným údajom a spôsobu ich analýzy. Autor sa snaží vysvetliť princíp dokazovania nálezov vo forenznej analýze volatilných údajov.
http://www.certconf.org/presentations/2006/files/RB3.pdf

Forenzné nástroje na zber stálych digitálnych dôkazov

PC Inspector File Recovery

Ide o program slúžiaci na obnovenie zmazaných súborov. Použitý USB kľúč bol pred obnovovaním naformátovaný pomalým formátovaním, vytvorený súborový systém bol FAT32. Program napriek tomu dokázal obnoviť jeho pôvodný obsah. Obnova súborov prebehla úspešne iba z časti, o niektorých súboroch ostala iba informácia, že sa na disku nachádzali.

nevolatilne data


Neúspešne obnovený .doc súbor:
nevolatilne data


Sleuth Kit (+ autopsy)

Sleuth kit je sada opensource nástrojov určených na získavanie stálych digitálnych dôkazov. Keďže Sleuth kit pracuje v konzolovom režime, bola v rámci projektu Autopsy Browser vytvorená grafická nadstavba. Tento nástroj je možné použiť na analyzovanie súborových systémov NTFS, FAT, HFS+, ext2, ext3, utfs1 a utfs2. Je schopný pracovať pod viacerými operačnými systémami (Linux ,Mac OS X, Windows (Visual Studio and mingw), Open & FreeBSD, Solaris).
  • Allin1
  • Odyssey Digital Forensics Search
  • PyFlag
  • Raw2Fs
  • Selective File Dumper
  • Zeitline
  • PTK Forensics
PyFlag

Pyflag ponúka bohatú kolekciu funkcií, ktoré v sebe zahŕňajú možnosti analýzy rôznych formátov log súborov, forenznú analýzu diskov ako aj analýzu sieťovej prevádzky. Samostatne môže byť nasadený na centrálnom serveri, kde je schopný spracovávať prichádzajúce dáta od viacerých používateľov naraz. Pomocou tohto nástroja je možné vyhľadávať v analyzovaných dátach pomocou kľúčového slova. Na obrázku je vidieť výsledok hľadania slova „ipsum“, ktoré sa nachádza v súbore vygenerovanom práve generátorom náhodných textov Lorem Ipsum. Dokáže taktiež prehľadávať obsah disku podľa zadanej pozície v pamäti, ďalší obrázok ukazuje výpis časti bootsectora analyzovaného USB kžúča.
Vyhľadanie výrazu "ipsum" v súborovom systéme:

nevolatilne data


Výpis bootsectoru:

nevolatilne data


Nástroj dokáže taktiež prezerať súbory na disku a to aj v prípade, že došlo k ich zmazaniu, ale ešte sa neprepísali pamäťové miesta. Nasledujúci obrázok ukazuje prezeranie súborového systému, konkrétne náhľad zmazaného obrázku:

nevolatilne data


Nástroj umožňuje aj triedenie súborov podľa ich typu do skupín (archív, zvukový súbor, dokument...):

nevolatilne data


Zeitline

Nástroj slúžiaci na usporiadanie vežkého množstva informácií do prehľadného sledu udalostí, ako aj zadefinovanie udalosti, kedy k nej došlo, ako dlho trvala, jej pôvod. Udalosť môže rozdeliť do „sub-udalostí“, ktoré sú analyzované rovnakým spôsobom. Napríklad, tri akcie spustenie kompilátora gcc, prístup k súboru „x“ a prístup ku knižnici „y“ by mohli byť zoskupené do super-udalosti označenej ako „zostavenie programu x“, ktorá by potom mohla byť súčasťou inej super-akcie nainštalovať rootkit.
Nasledovný obrázok ukazuje postupnosť operácií uskutočnených na USB disku v časovom poradí, počnúc jeho pripojením do file systemu, spustenie autorun, vytvorenie súborov vo formáte pdf, jpg a odt a ich následné zmazanie pdf a jpg súboru:

nevolatilne data


Apache server

Celá kapitola zaoberajúca sa Apache serverom sa nachádza TU.


Matej Mihalech © 2017