Inforensique en vrac
Saturday, 19. July 2008, 16:40:00
C'est la classe : ma solution du challenge DFRWS 2008 a été citée sur le Computer Forensic Blog.
Mais ce n'est rien comparé au travail des développeurs de Volatility sur l'analyse de la mémoire des systèmes Linux.
Ils ont apporté des modifications à un outil de RedHat nommé Crash qui permet ainsi d'extraire de l'image de la mémoire la liste des processus, fichiers ouverts, connexions en cours, points de montages utilisés et bien plus encore.
Ils ont ensuite amélioré Volatility pour qu'il gère les images de mémoire physique Linux.
On retrouve les fonctionnalités qui ont été ajoutées à Crash ainsi que des possibilités supplémentaires pour extraire certains éléments de la mémoire : mémoire d'un processus particulier, paquets réseau...
Cela leur a par exemple permis de retrouver la communication FTP que je n'ai pas trouvé durant ma recherche
Volatility peut aussi être utilisé comme module dans PyFlag et au vue des captures d'écran ça a l'air impressionant ^_^
Changeons de sujet avec cet article de Dark Reading qui nous apprend que Bruce Schneier et un groupe de chercheurs auraient réussi à détecter la présence des systèmes de fichiers cachés par TrueCrypt.
Je m'attendais à lire des révélations croustillantes sur un oubli d'implémentation ou une faiblesse cryptographique, en réalité ils se sont seulement basés sur les traces d'accès laissés sur un système Windows qui montraient l'existence de fichiers sur une partition qui n'apparait pas dans la table des partitions.
Ils se sont notamment basés sur l'analyse des fichiers .lnk et des listes MRU (Most Recently Used) présentes dans le registre de Windows.
Je trouve que l'équation
présence des exécutables TrueCrypt + preuve de l'existence d'une partition qui n'y est plus = preuve de l'existence d'une partition cachée
est un peu rapide et est loin d'être fiable.
C'est ce que j'ai tendance à appeler le "principe de l'entourloupe", à savoir bien que ces outils soient utiles, leur simple présence génère la suspicion chez la personne qui analyse le système. C'est pour cela que je regarde toujours avec un peu de recul le principe du déni plausible.
C'est en particulier vrai avec des outils spécialisés comme Stegeek, 2c2, 4C ou encore Elettra paru dans le dernier Phrack.
Ca me parait moins vrai pour les partitions cachées, surtout que la technique utilisée dans l'article n'est pas liée à TrueCrypt et pourrait même déjouer une méthode faite maison. Bref la faille n'est pas dans TrueCrypt mais plus du côté de l'utilisateur qui devrait prendre différentes mesures pour dissimuler son activité (et s'il utilise TrueCrypt il doit bien être capable de le faire
)
Mais ce n'est rien comparé au travail des développeurs de Volatility sur l'analyse de la mémoire des systèmes Linux.
Ils ont apporté des modifications à un outil de RedHat nommé Crash qui permet ainsi d'extraire de l'image de la mémoire la liste des processus, fichiers ouverts, connexions en cours, points de montages utilisés et bien plus encore.
Ils ont ensuite amélioré Volatility pour qu'il gère les images de mémoire physique Linux.
On retrouve les fonctionnalités qui ont été ajoutées à Crash ainsi que des possibilités supplémentaires pour extraire certains éléments de la mémoire : mémoire d'un processus particulier, paquets réseau...
Cela leur a par exemple permis de retrouver la communication FTP que je n'ai pas trouvé durant ma recherche
Volatility peut aussi être utilisé comme module dans PyFlag et au vue des captures d'écran ça a l'air impressionant ^_^
Changeons de sujet avec cet article de Dark Reading qui nous apprend que Bruce Schneier et un groupe de chercheurs auraient réussi à détecter la présence des systèmes de fichiers cachés par TrueCrypt.
Je m'attendais à lire des révélations croustillantes sur un oubli d'implémentation ou une faiblesse cryptographique, en réalité ils se sont seulement basés sur les traces d'accès laissés sur un système Windows qui montraient l'existence de fichiers sur une partition qui n'apparait pas dans la table des partitions.
Ils se sont notamment basés sur l'analyse des fichiers .lnk et des listes MRU (Most Recently Used) présentes dans le registre de Windows.
Je trouve que l'équation
présence des exécutables TrueCrypt + preuve de l'existence d'une partition qui n'y est plus = preuve de l'existence d'une partition cachée
est un peu rapide et est loin d'être fiable.
C'est ce que j'ai tendance à appeler le "principe de l'entourloupe", à savoir bien que ces outils soient utiles, leur simple présence génère la suspicion chez la personne qui analyse le système. C'est pour cela que je regarde toujours avec un peu de recul le principe du déni plausible.
C'est en particulier vrai avec des outils spécialisés comme Stegeek, 2c2, 4C ou encore Elettra paru dans le dernier Phrack.
Ca me parait moins vrai pour les partitions cachées, surtout que la technique utilisée dans l'article n'est pas liée à TrueCrypt et pourrait même déjouer une méthode faite maison. Bref la faille n'est pas dans TrueCrypt mais plus du côté de l'utilisateur qui devrait prendre différentes mesures pour dissimuler son activité (et s'il utilise TrueCrypt il doit bien être capable de le faire
)
WIDGETIZE
How to use Quote function: