Hej!
Jag har skrivit ett par trådar om hur IT-forensiker kan arbeta med att få fram data ur datorer och mobiler. Trådarna är:
(FB) Introduktion till IT-forensik
(FB) Intruduktion till nätverksforensik
(FB) Intruduktion till Malwareanalys
(FB) Introduktion till minnesforensik
(FB) Minnesforensik - Linux och Android
(FB) Beskrivning av attackmetoder mot FDE
Dessa trådar tar upp hur man kan ta fram och analysera data för att bedöma om vilka handlingar som utförts. I denna tråd så ska vi diskutera motsatsen, nämligen att försvåra framtagningen av data. Tack vare kunskaperna om vad som är möjligt att ta fram samt hur man tar fram data så kan vi arbeta åt motsatt håll. Detta är ingen introduktionstråd då jag har tänkt att skriva så mycket jag kan om ämnet samt så innehåller mina andra trådar bra information om ämnet.
För att ens kunna bedöma vad som ska tas bort så behöver vi svara på dessa frågor:
Nyckelord inom anti-forensik: kryptering, obfuskering och borttagning.
Det absolut vanligaste är att ha en fulldiskkryptering, och det är viktigt att lösenordet håller en god lösenordpolicy. Countermail har skrivit en bra guide om hur du skapar bra lösenord, men notera att lösenordet borde vara längre än 25 tecken om det ska skydda hela din hårddisk. Viktigt att du aldrig skriver ner lösenordet någonstans utan ta dig 20-30 minuter för att verkligen lära in lösenordet i huvudet. Ingen kommer tvinga dig att säga ditt lösenord, utan säg att du glömt det om någon frågar.
Att använda webbläsare så som Tor Browser Bundle är bra om du vill vara anonym på nätet men kanske inte allas favorit. Att istället använda Firefox eller Chromes inkognito-mode passar de flesta bättre. I inkognito-mode så sparas inga cookies, historik, cache eller liknande utan allt stannar för sessionen. Om du ska logga in på en sida endast en gång så rekommenderas inkognito-mode.
CCLeaner+CCEnhancer är två superbra verktyg som tro det eller ej försvårar rätt mycket för en forensiker. Ha som en bra vana att rensa hela datorn med CCLeaner minst 2 gånger varje dag, eller hellre en gång för mycket än för lite. När du väl ska rensa så välj ALLT förrutom "Wipe free space" då det alternativet tar några timmar. Stäng av alla program innan du börjar skanna med CCLeaner. Absolut ska du även rensa registret också. Ladda ner CCEnhancer som utökar CCLeaners rensning markant här.
En av de viktigaste sakerna ur ett anti-forensiskt perspektiv är borttagning av data. Och detta ska ske till på ett säkert sätt, med en sk wipe. Om du raderar en fil så försvinner den inte direkt ifrån din hårddisk utan den måste först skrivas över. En wipe är en metod som skriver en "0":a(sic) över det utrymme som visas som ledigt. Det betyder att den bilden du raderade inte längre går att ta fram, även cache försvinner helt ifrån din dator. Programmet CCLeaner har denna funktion och du hittar den i Tools > Drive Wipe och Simple Overwrite(1 pass) räcker, något annat är bara väldigt mycket onödigt och tar inte bort mer data om du inte har en supergammal hårddisk(vilket du antagligen inte har).
Skulle ni bara vilja radera en fil eller ett folder så finns alternativ för det, t.ex: http://www.pendriveapps.com/freerase...file-shredder/ som är busenkelt att använda! Men ha i åtanke att en komplett wipe alltid är bättre.
Nu till något annat, nämligen timestamps. När en forensiker letar efter spår så är det viktigt att kolla efter när filer senast ändrades, rördes och skapades. Om du t.ex laddar ner en film så kan man se när denna lades in på din hårddisk för första gången vilket kan länkas till när brottet skedde. Detta vill vi alltså ändra på.
Sist men inte minst så ska jag tala om Dead Man's Switch. Ni som spelat CoD vet ungefär vad detta innebär och det är sista försöket att utföra en handling innan man dör. Det finns ett riktigt bra program skapat av Björn Ringmann som heter Truepanic. Detta är ett verktyg för att utföra en sk. Killswitch. Vad man kan ställa in programmet på är att avmontera dina Truecrypt-enheter och stänga av datorn vid olika handlingar, musrörelser och ett crafted nätverkspaket vilket innebär att du kan trigga switchen ifrån din mobil! Om du är på väg ut så kan du starta programmet och om musen vidrörs så stängs datorn av vilket gör det omöjligt att utföra en diskkopia t.ex. Detta program är egentligen menat att användas med Truecrypt, men fungerar lika bra utan.
Läs mer på hans blogg(samt nerladdning): http://ensconce.me/?p=7
Se videon: https://www.youtube.com/watch?v=u6cszJrI53c
--
Nu kan vi gå tillbaka svara på frågorna jag ställde innan.
Vilken data är av värde?
Data som tyder på att aktivitet har skett. Registernycklar, timestamps, raderade filer och klartext är av värde.
Hur tas datan fram?
Genom att analysera hårddiskens innehåll och kanske kolla efter IP-adresser.
Hur kan datan användas emot dig?
T.ex om de vet att ett intrång skett mot en hemsida så kan de använda data som bevisar att du besökt hemsidan vid ett visst klockslag samt vad du gjorde på sidan.
Hur tar man bort datan?
Genom att använda ovanstående program korrekt. Man behöver inte ta bort data, utan man kan obfuskera eller kryptera den.
Jag har skrivit ett par trådar om hur IT-forensiker kan arbeta med att få fram data ur datorer och mobiler. Trådarna är:
(FB) Introduktion till IT-forensik
(FB) Intruduktion till nätverksforensik
(FB) Intruduktion till Malwareanalys
(FB) Introduktion till minnesforensik
(FB) Minnesforensik - Linux och Android
(FB) Beskrivning av attackmetoder mot FDE
Dessa trådar tar upp hur man kan ta fram och analysera data för att bedöma om vilka handlingar som utförts. I denna tråd så ska vi diskutera motsatsen, nämligen att försvåra framtagningen av data. Tack vare kunskaperna om vad som är möjligt att ta fram samt hur man tar fram data så kan vi arbeta åt motsatt håll. Detta är ingen introduktionstråd då jag har tänkt att skriva så mycket jag kan om ämnet samt så innehåller mina andra trådar bra information om ämnet.
För att ens kunna bedöma vad som ska tas bort så behöver vi svara på dessa frågor:
- Vilken data är av värde?
- Hur tas datan fram?
- Hur kan datan användas emot dig?
- Vart finns datan?
- Hur tar man bort datan?
Nyckelord inom anti-forensik: kryptering, obfuskering och borttagning.
Det absolut vanligaste är att ha en fulldiskkryptering, och det är viktigt att lösenordet håller en god lösenordpolicy. Countermail har skrivit en bra guide om hur du skapar bra lösenord, men notera att lösenordet borde vara längre än 25 tecken om det ska skydda hela din hårddisk. Viktigt att du aldrig skriver ner lösenordet någonstans utan ta dig 20-30 minuter för att verkligen lära in lösenordet i huvudet. Ingen kommer tvinga dig att säga ditt lösenord, utan säg att du glömt det om någon frågar.
Att spara lösenord på USB-minnen eller liknande är en väldigt dålig idé då polisen har rätten att beslagta medium av detta slag. Har du externa medium så kryptera även dessa med olika lösenord. Använd Truecrypt då det är enklast och stödjer Linux, Mac och Windows. För hjälp med Truecrypt, vänligen konsultera tråden (FB) Den officiella tråden om TrueCrypt
Att använda webbläsare så som Tor Browser Bundle är bra om du vill vara anonym på nätet men kanske inte allas favorit. Att istället använda Firefox eller Chromes inkognito-mode passar de flesta bättre. I inkognito-mode så sparas inga cookies, historik, cache eller liknande utan allt stannar för sessionen. Om du ska logga in på en sida endast en gång så rekommenderas inkognito-mode.
För bästa effektivitet så avaktivera JavaScript och Java. Använd en User Agent Spoofer, Adblock och Ghostery. Jag tror dock inte jag behöver nämna att du behöver använda en pålitlig VPN-tjänst, det är absolut det viktigaste. Proxies och SOCKS ska du inte använda.
CCLeaner+CCEnhancer är två superbra verktyg som tro det eller ej försvårar rätt mycket för en forensiker. Ha som en bra vana att rensa hela datorn med CCLeaner minst 2 gånger varje dag, eller hellre en gång för mycket än för lite. När du väl ska rensa så välj ALLT förrutom "Wipe free space" då det alternativet tar några timmar. Stäng av alla program innan du börjar skanna med CCLeaner. Absolut ska du även rensa registret också. Ladda ner CCEnhancer som utökar CCLeaners rensning markant här.
CCLeaner kan ta bort rätt mycket, t.ex återställningspunkter. Om du känner att du inte behöver dessa så ta bort dem! Du hittar detta alternativet i Tools > System Restore och sedan väljer du de punkter du vill ta bort och trycker på "Remove".Något som CCLeaner inte tar bort är de sk "Shellbags" som Windows har. Shellbags är superviktiga ur ett forensiskt perspektiv då de kan få fram en tidigare aktivitet i en dator även efter filer och mappar har tagits bort. Programmet Shellbag Analyzer & Cleaner analyserar vilka shellbags du har och möjlighet att ta bort dem. Du kommer bli rätt överraskad när du ser resultatet...
En av de viktigaste sakerna ur ett anti-forensiskt perspektiv är borttagning av data. Och detta ska ske till på ett säkert sätt, med en sk wipe. Om du raderar en fil så försvinner den inte direkt ifrån din hårddisk utan den måste först skrivas över. En wipe är en metod som skriver en "0":a(sic) över det utrymme som visas som ledigt. Det betyder att den bilden du raderade inte längre går att ta fram, även cache försvinner helt ifrån din dator. Programmet CCLeaner har denna funktion och du hittar den i Tools > Drive Wipe och Simple Overwrite(1 pass) räcker, något annat är bara väldigt mycket onödigt och tar inte bort mer data om du inte har en supergammal hårddisk(vilket du antagligen inte har).
Skulle ni bara vilja radera en fil eller ett folder så finns alternativ för det, t.ex: http://www.pendriveapps.com/freerase...file-shredder/ som är busenkelt att använda! Men ha i åtanke att en komplett wipe alltid är bättre.
Nu till något annat, nämligen timestamps. När en forensiker letar efter spår så är det viktigt att kolla efter när filer senast ändrades, rördes och skapades. Om du t.ex laddar ner en film så kan man se när denna lades in på din hårddisk för första gången vilket kan länkas till när brottet skedde. Detta vill vi alltså ändra på.
Låt mig introducera TimeStop. Ett enkelt program till Windows som låter dig ändra tiden på filer och folders via NTFS-attribut. Ladda ner Timestop.exe ifrån http://www.jonrajewski.com/resources/ och starta via Kommandotolken(CMD). Det finns även ett GUI här, men ni behöver Timestop.exe för GUI't så ladda ner båda två!
Om ni vill så ändra hela er hemkatalog, det kommer inte påverka era filers funktion. Se till att inte ändra till ett obskyrt datum som man fattar att det är falskt utan ta några dagar eller veckor innan ni skaffade filen. IT-forensikerna kommer sedan inte kunna skapa en sk. "tidslinje" för när något hände, t.ex att du först ladda ner en film, sedan VLC och sedan googlade på något annat.
Sist men inte minst så ska jag tala om Dead Man's Switch. Ni som spelat CoD vet ungefär vad detta innebär och det är sista försöket att utföra en handling innan man dör. Det finns ett riktigt bra program skapat av Björn Ringmann som heter Truepanic. Detta är ett verktyg för att utföra en sk. Killswitch. Vad man kan ställa in programmet på är att avmontera dina Truecrypt-enheter och stänga av datorn vid olika handlingar, musrörelser och ett crafted nätverkspaket vilket innebär att du kan trigga switchen ifrån din mobil! Om du är på väg ut så kan du starta programmet och om musen vidrörs så stängs datorn av vilket gör det omöjligt att utföra en diskkopia t.ex. Detta program är egentligen menat att användas med Truecrypt, men fungerar lika bra utan.
Läs mer på hans blogg(samt nerladdning): http://ensconce.me/?p=7
Se videon: https://www.youtube.com/watch?v=u6cszJrI53c
--
Nu kan vi gå tillbaka svara på frågorna jag ställde innan.
Vilken data är av värde?
Data som tyder på att aktivitet har skett. Registernycklar, timestamps, raderade filer och klartext är av värde.
Hur tas datan fram?
Genom att analysera hårddiskens innehåll och kanske kolla efter IP-adresser.
Hur kan datan användas emot dig?
T.ex om de vet att ett intrång skett mot en hemsida så kan de använda data som bevisar att du besökt hemsidan vid ett visst klockslag samt vad du gjorde på sidan.
Hur tar man bort datan?
Genom att använda ovanstående program korrekt. Man behöver inte ta bort data, utan man kan obfuskera eller kryptera den.