» »

Linux bo morda pospešil delo računalniških forenzikov

Linux bo morda pospešil delo računalniških forenzikov

CNet - Avstralski študentje so razvili na Linuxu osnovano forenzično programsko opremo za preiskovanje podatkov na trdem disku. Z razvitim orodjem želijo policiji pomagati pri prebijanju skozi rastoče število naročil za preiskavanje računalniškega kriminala.

Programska oprema omogoča preiskovalcem pregledovanje in zbiranje forenzičnih podatkov brez ogrožanja njihove integritete. Najbolj zanimiva pa je njena oblika:

„Orodje je Linux zgoščenka (Live CD), ki smo jo sestavili popolnoma na novo. Sredico in operacijski sistem smo prilagodili tako, da med delovanjem ne zapisuje na trdi disk ali druge medije za shranjevanje podatkov,“ je za avstralski ZDNet povedal programer Peter Hannay.

Operacijski sistem na živi Linux zgoščenki ima tako odstranjene določene dele, kar preiskovalcem omogoča pregledovanje podatkov na tak način, da ne vplivajo na napravo. V primeru, da bi se pokazala kakršnakoli možnost pisanja na medij, se orodje samodejno zaustavi. To je namreč pri forenzičnem preiskovanju računalniškega kriminala neobhoden pogoj.

Programska oprema teče nad nameščenim operacijskim sistemom ter menda zelo hitro preišče trdi disk in najde vse specifične datoteke, denimo tipa .jpeg in .mpeg, ter jih predoči preiskovalcu.

Ideja o takšnem orodju se je porodila zahodnoavstralski policiji, ki je univerzo leta 2006 prosila za pomoč, saj njeni preiskovalci niso več zmogli izvesti rastočih naročil za forenzične preiskave primerov otroške pornografije. Osebne računalnike so morali namreč nositi na preiskave na kriminalistične urade, kar bodo zdaj, po Hannayevih besedah, lahko opravili kar na mestu samem.

Za tiste, ki vas zanima več, si lahko preberete primer takšnega preiskovanja na Hannayevem blogu:
A live CD system for extraction of user and owner information from laptop and notebook hard disk

15 komentarjev

fiction ::

Kar potrebujemo sedaj je samo se knjiga "Computer Forensics For Dummies"...

To glede otroske pornografije mi zgleda malo iz trte zvito. Beseda ni nikjer niti omenjena (sem
za foro pognal search za "porn" in "child" nad povzetkom ter PDF-jem)!
Kolikor sem prebral clanek, je glavni problem to, da z izgubljenih oz. ukradenih in kasneje najdenih
prenosnikov ni mogoce dobiti podatkov o lastniku, da bi mu napravo vrnili.

V okviru prve faze LIARS projekta je nastal se eden iz med mnogih forenzicnih boot CD-jev z Linux jedrom,
ki pa je zasnovan _samo_ za Windows XP. Lahko da je pohekan v tej smeri, da ne sari po disku in ga zato lahko
uporabimo v istem racunalniku (glede tega nisem preprican, mi pa lahko kdo pokaze citat).

Pa tudi ce je, se mi vseeno zdi novica prevec senzacionalno napisana.
Vse kar ta zadeva vsebuje je chntpw. Orodje omogoca spreminjanje (administratorskega) gesla ter
poleg tega izpis registrya. Zakaj ne bi raje uporabili FIRE?
Me pa zanima kaj _tocno_ katerakoli Live-CD Linux distrubicija (lahko tudi Ubuntu ce kdo hoce)
dela z diskom (podatki so v tmpfs, swap particije ne uporablja)...

Bistvo clanka je potem kako lahko iz podatkov Windows registra cimbolj enostavno
ugotoviti komu racunalnik pripada. Ga je avtor novice sploh prebral ali pa je
samo nekaj nabluzil?

Gekobla ::

vir novice ni polinkan članek na koncu, temveč cnet news - tam je zelo jasno omenjena child pornography
članek na blogu je avtorsko delo Hannaya, ki je bil citiran v novici in vsebina članka govori točno o tem, kar si ugotovil: A live CD system for extraction of user and owner information from laptop and notebook hard disk
gekobla

Matthai ::

V bistvu je zadeva precej preprosta. Uporabi se standardni liveCD, ki ne priklaplja lokalnih diskov, doda par forenzičnih orodij, ala dd, ddctl, testdisk, autopsy, morda še kakšno orodje za delo z mrežo ala netcat in cryptcat (da lahko zajete podatke pošlješ preko mreže), orodja za računanje hashov ter še kakšno namensko orodje za "šraufanje" Windows Xp.

Jaz sem enkrat naredil remastering Ubuntu 7.10 s temi dodanimi orodji. Če bi hotel vse skupaj malce zoptimizirati, bi pa uporabil kakšen Slax ali kaj podobnega.
All those moments will be lost in time, like tears in rain...
Time to die.

BigWhale ::

Moj prvi komentar je bil: Eh?

Ker dejansko stvar ni nic tako zelo kompliciranega in zapletenega. :) Zascita pred pisanjem? Disk mountas v read-only pa je...

MrStein ::

BigWhale:
Zascita pred pisanjem? Disk mountas v read-only pa je...

Aha, torej ne veš, da potem vseeno piše na disk ?
No, tile fanti pa so se usedli, stvar raziskali in njihov izdelek RES ne piše na disk.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Čakaj malo?

Če je disk mountan kot read-only - zadeva še vedno PIŠE na disk??

Referenca?
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

Mountaj kaki ext3 read-only...

Pa na swap particijo tudi veliko liveCD-jev veselo piše.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BigWhale ::

MrStein, za ext3 ne vem ampak ext2 praviloma nicesar ne pise na disk medtem ko je readonly mounted.

Obstaja sicer moznost, da file access time spreminja oziroma popravlja ampak tudi -onoatime lahko podas k mount opciji.

Pa tudi ce. Stvar je vseeno dokaj trivialna za nekoga, ki vsaj priblizno pozna sistem.

fiction ::

Gekobla: Potem je ocitno vir napacen, ker pri meni pri kliku na
http://www.news.com/8301-13579_3-980588... dobim
clanek z naslovom "Bring a credit card if you want an iPhone, and you only get two".

dd je dokaj standardno orodje in ne nekaj kar bi bilo posebno namenjeno forenziki.
Je pa kul imeti kaksen cryptcat s katerim potem lahko naredis image diska (z dd) na nek drug
disk na racunalniku v mrezi in potem vse skupaj analiziras tam (tudi brez Live CD-ja).

Zakaj ext3fs pise po filesystemu ceprav je read-only? Zaradi journala ali cesa drugega?
Se to dogaja tudi pri kaksnih filesystemih za delo s flash pomnilnikom
ala JFFS, JFFS2, YAFFS? Najbrz ne, da se ohrani pomnilnisko napravo cimdlje pri zivljenju.
Se pri pisanju se ne pise vedno na isto lokacijo itd.

MrStein ::

Pa tudi ce. Stvar je vseeno dokaj trivialna za nekoga, ki vsaj priblizno pozna sistem.

Zadeva je namenjena policajcem ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

darkolord ::

Kaj pa je tle tako posebnega? Sej pri nas kriminalisti tudi uporabljajo custom live linux CDje
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

Matthai ::

dd je namenjen forenzičnemu zajemu podatkov.

Obstaja tudi posebna verzija dd-ja za forenziko z imenom dcfldd (prej sem narobe napisal, BTW, kateri butelj si je spomnil to ime mi pa res ni jasno...).

Zato dd pač spada na tak CD.
All those moments will be lost in time, like tears in rain...
Time to die.

fiction ::

dd pomeni disk dump in je med drugim v GNU Coreutils, torej (kolikor vem) prisoten po defaultu v kateri koli distrubiciji GNU/Linux
oz. tudi na BSD sistemih. Torej ne gre za orodje, ki je posebno namenjeno forenziki, ceprav ne recem da je dump diska potem
zelo koristen za forenzicne raziskave.

dcfl = Department of Defense Computer Forensics Lab
zaradi tega tako ime dcfldd. Se mi pa zdi da ta verzija ne prinasa nic tako
zelo revolucionarnega.

runkl ::

Kako mi je hecno, ko ste se vsi omejili na EXTFS. Kot da ne obstajajo drugi. Jaz naprimer uporabljam reiserfs, v windowsih pa seveda ntfs ali pa fat.
No fantje so najbrž spremenili kernel za vse datotečne sisteme, in s tem seveda preprečili replay journala (datotečnim sistemom, ki ga imajo). Ali pa so zagotovili prepričanje, da so podatki na fizičnem mediju dejansko samo read-only (čeprav mislim, da v osnovi SCSI podsistem tega nima). In s tem seveda preprečili replay journala.

Na JFFS komot pišeš.

Matthai ::

V zvezi z vprašanjem ali je mount read-only res read only ali ne, sem odprl tole temo. Zanima me vaše mnenje. Moji testi namreč ne kažejo da bi se filesystem, ki je read-only spreminjal....
All those moments will be lost in time, like tears in rain...
Time to die.

Zgodovina sprememb…

  • spremenil: Matthai ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Znanja digitalna forenzika

Oddelek: Informacijska varnost
233699 (1674) gslo
»

Policija gleda v tvoj računalnik (strani: 1 2 )

Oddelek: Informacijska varnost
7118468 (15296) Ale3š
»

Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )

Oddelek: Novice / Varnost
12026289 (20210) MrStein
»

Izračun digitalnega prstnega odtisa datoteke predstavlja preiskavo

Oddelek: Novice / Zasebnost
273695 (2439) Matthai
»

Linux bo morda pospešil delo računalniških forenzikov

Oddelek: Novice / Ostala programska oprema
155306 (3716) Matthai

Več podobnih tem