Τεχνική Νομοθεσία Για Μηχανικούς Πληροφορικής/1. Εργαλεία ανάλυσης κοινωνικών δικτύων. H 2. Εργαλεία για anti-forensics.: Διαφορά μεταξύ των αναθεωρήσεων

Η ΕΡΓΑΣΙΑ ΔΕΝ ΕΙΝΑΙ ΤΕΛΙΚΗ.

To Metasploit είναι ενα προγραμμα ανοιχτού λογισμικού που περιεχέι μια βάση δεδομένων από πάρα πολλά εργαλεία για δόκιμες ασφάλειας Η/Υ και δικτύων. Είναι διαθέσιμο για Windows,Mac Os X και Linux. Το Metasploit βασίζεται κυρίως στην κοινότητα του. Αυτή αναπτύσσει τα περισσότερα εργαλεία. Υπάρχει εγκατεστημένο σε μια εκδοσή του Linux που λέγεται Kali Linux. To Metasploit έγινε γνωστό γιατί μπορούσε να εκμεταλλευτεί πολλά bugs λειτουργικών συστημάτων και να δοκιμάσει την ασφάλεια τους. Αυτό γίνετε κυρίως με εργαλεία που φτιάχνει η κοινότητα του. (exploits) Επίσης είναι πολύ γνωστό και για τα Αντι-εγκληματολογικά εργαλεία του.

Η πρώτη εκδοσή του Metasploit εμφανίστηκε το 2003 από τον HD Moore.Το Metasploit ήταν γραμμένο στην γλωσσά προγραμματισμού Perl. To 2004 βγήκε η εκδοσή 2. Το 2007 δόθηκε στο κοινό η τρίτη εκδοσή που ηταν γραμμενη απο την αρχη σε γλωσσα Ruby. Tον Φεβρουαριανό του 2009 αγοράστηκε από την εταιρία Rapid 7. H εταιρία έχει βγάλει πολλές εκδόσεις του γνωστoύ metasploit άλλα η βασική παραμένει κάτω από την άδεια BSD και διατεθείτε ελεύθερα στο κοινό. Αυτή την στιγμή βρίσκεται στην εκδοσή:4.10 η οποία κυκλοφόρησε τον Αύγουστο του 2014.

Μια ομάδα με όνομα MAFIA (Metasploit Anti-Forensic Investigation Arsenal) Έφτιαξε τρία εργαλεία για το metasploit που ήταν αποκλειστικά για αντί-εγκληματολογικά θέματα.  Ολη η δουλεια αυτή ονομάστηκε Metasploit Anti-Forensics Project.

Το Timespomp δημιουργήθηκε από τον James C. Foster και τον Vincent Liu για την απόκρυψη από τους δικαστές τροποποιημένων αρχείων μέσα στον δίσκο. Κάθε αρχείο στον υπολογιστή μας κρατάει κάποιες επιπλέον πληροφορίες όπως η ημερομηνία/ώρα δημιουργίας του, τροποποίησης του,εγγραφής στο σύστημα αρχείων και την ώρα πρόσβασης στο αρχείο. Στο δικαστήριο αν βρεθεί κάποιο αρχείο τροποποιημένο τότε όλα δείχνουν πως τα στοιχειά που δείχνουμε δεν είναι αυθεντικά. Το timespomp μπορεί να αλλάξει αυτές τις πληροφορίες ώστε να φαίνονται στο δικαστήριο αποδέκτες. Το Timespomp για μερικά χρονιά ήταν ευρέως αποδεκτό άλλα πλέον πρέπει να γίνει συνδυασμός και άλλων προγραμμάτων ώστε να μην γίνει αντιληπτή η αλλαγή των πληροφοριών.

Το Δεύτερο εργαλείο της ομάδας μας επιτρέπει να κρύψουμε σε κάποιον υπολογιστή με σκληρό δίσκο διαμορφωμένο σε NTFS σύστημα αρχείων δεδομένα. Κάθε σύστημα αρχείων αποθηκεύει τα δεδομένα σε σύνολα από blocks (για linux) ή clusters (για windows). Αυτός ο χορός είναι προκαθορισμένος από πριν. Π.χ. Αν γράψουμε ένα αρχείο μεγέθους 2KB σε ένα σύστημα αρχείων με μέγεθος μπλοκ 8KB. Το αρχείο θα γραφτεί άλλα θα πιάσει 8Κ που είναι το ελάχιστο στον δίσκο. Έτσι μένουν 6Κ κενά. Εκεί χρησιμοποιούμε μεσο του metasploit το Slacker το οποίο μπορεί να “βρει”αυτόν τον κενό χόρο μέσα σε ένα σύστημα αρχείων NTFS και να γράψει επιπλέον δεδομένα. Το Slacker Έχει την δυνατότητα να μην αλλοιώνει το MD5 hash. Έτσι αν παράγουμε ένα md5 hash πριν από την αλλαγη των  δεδομένων και ένα μετά την εισαγωγή των νέων δεδομένων θα δούμε πως αυτά τα 2 hash είναι ίδια. Το μόνο που αλλάζει στο αρχείο είναι η ημερομηνία τροποποίησης που μπορούμε να την επεξεργαστούμε με το Timestomp.   Αυτή η διαδικασία κάνει τον δικαστικό έλεγχο ακόμα πιο δύσκολο στον εντοπισμό αλλοίωσης.

Το Τρίτο εργαλείο ονομάστηκε Sam Juicer. Το εργαλείο αυτό μπορούσε μέσο μιας επίθεσης με το metasploit σε έναν Η/Υ με λειτουργικό σύστημα windows να “τρέχει” στην RAM και να εξάγει τα password hashes του συστήματος χωρίς να αφήνει κανένα ίχνος ούτε στον δίσκο, ούτε στην registy. Το εργαλείο αυτό έχει πάνω από 7 χρονιά να ενημερωθεί και έτσι αντικαταστάθηκε με την εντολή hashdump του metasploit.

Πηγές: wikipedia , bishopfox , forensicswiki,[www.deltahacker.gr Περιοδικό Deltahacker] Η ΕΡΓΑΣΙΑ ΔΕΝ ΕΙΝΑΙ ΤΕΛΙΚΗ.