Μετάβαση στο περιεχόμενο

Να αναλύσετε ένα εργαλείο forensic (5η Εργασία 2019-2020)

Από Βικιβιβλία

< Τεχνική Νομοθεσία Για Μηχανικούς Πληροφορικής

PARROT OS (ΒΑΣΊΛΕΙΟΣ ΜΟΎΤΟΣ 4416013,ΘΕΜΙΣΤΟΚΛΉΣ ΑΓΛΑΊΝΗΣ 4417001)

[επεξεργασία]

Η ΕΠΙΣΤΉΜΗ ΤΗΣ ΕΓΚΛΗΜΑΤΟΛΟΓΊΑΣ

Η εγκληματολογική επιστήμη , γνωστή και ως εγκληματολογία , είναι η εφαρμογή της επιστήμης στους ποινικούς και αστικούς νόμους , κυρίως - στην εγκληματική πλευρά - κατά τη διάρκεια της ποινικής έρευνας , όπως διέπεται από τους νομικούς κανόνες αποδεκτών αποδεικτικών στοιχείων και ποινικής διαδικασίας .Οι εγκληματολόγοι συλλέγουν, συντηρούν και αναλύουν επιστημονικά στοιχεία κατά τη διάρκεια μιας έρευνας. Ενώ ορισμένοι επιστήμονες του εγκλήματος ταξιδεύουν στη σκηνή του εγκλήματος για να συλλέξουν τα ίδια τα στοιχεία, άλλοι κατέχουν εργαστηριακό ρόλο, διεξάγοντας ανάλυση σε αντικείμενα που τους έφεραν άλλα άτομα.Το ειδικότερο επιστημονικό αντικείμενο της Εγκληματολογίας αφορά τη μελέτη των χαρακτηριστικών της εγκληματικής πράξης αυτής καθεαυτής καθώς και των πρωταγωνιστών της, δηλαδή του δράστη (εγκληματία) και του θύματός του. Παράλληλα, και μέσα στα πλαίσια των μέτρων αντιμετώπισης της εγκληματικής συμπεριφοράς, ασχολείται και με τη λειτουργία του Συστήματος της Ποινικής Δικαιοσύνης η οποία είναι αρμόδια για την επιβολή των μέτρων αυτών.Με την πάροδο του χρόνου οι επιστήμονες ανέπτυξαν μια νέα τεχνική η οποία θα διευκόλυνε τους επιστήμονες να λύσουν ένα εγκληματικό πρόβλημα χάρη στην τεχνολογία.

ΨΗΦΙΑΚΉ ΕΓΚΛΗΜΑΤΟΛΟΓΊΑ


Η ψηφιακή εγκληματολογία η ξεκίνησε κατά τη διάρκεια της δεκαετίας του 1980 όπου οι περισσότερες εγκληματικές έρευνες αποτελούσαν "ζωντανή ανάλυση", εξετάζοντας τα ψηφιακά μέσα απευθείας χρησιμοποιώντας μη εξειδικευμένα εργαλεία. Στη δεκαετία του 1990, δημιουργήθηκαν αρκετά ελεύθερα λογισμικά και άλλα ιδιόκτητα εργαλεία (τόσο υλικό όσο και λογισμικό) για να διεξαχθούν οι έρευνες χωρίς τροποποίηση των μέσων. Αυτό το πρώτο σύνολο εργαλείων επικεντρώθηκε κυρίως στην εγκληματολογία υπολογιστών , αν και τα τελευταία χρόνια έχουν αναπτυχθεί παρόμοια εργαλεία στον τομέα της ιατροδικαστικής της κινητής συσκευής.Οι έρευνες ψηφιακής εγκληματολογίας εφαρμόζονται σε ποικίλες περιπτώσεις. Η πιο συνηθισμένη από αυτές είναι να υποστηριχθούν ή να αντικρουσθούν ισχυρισμοί νομικών υποθέσεων ενώπιον ποινικών ή πολιτικών δικαστηρίων. Οι ποινικές υποθέσεις περιλαμβάνουν την υποτιθέμενη παραβίαση νόμων, οι οποίοι ορίζονται από τη νομοθεσία, επιβάλλονται από την αστυνομία και διώκονται από το κράτος, όπως δολοφονία, κλοπή και επίθεση εναντίον προσώπων.

ΣΧΕΤΙΚΑ ΓΙΑ ΤΟ PARROT OS


Το Parrot OS είναι μια διανομή GNU / Linux που που προέρχεται από το Debian Testing για γενική χρήση, pentesting και forensics. Το Parrot κυκλοφόρησε αρχικά το 2013 και σήμερα έχει αυξήσει πολλές διαφορετικές γεύσεις που έχουν ως στόχο διαφορετικές περιπτώσεις χρήσης.Έχει σχεδιαστεί με γνώμονα την Ασφάλεια, την Ανάπτυξη και την Προστασία Προσωπικών Δεδομένων.Περιλαμβάνει ένα πλήρες φορητό εργαστήριο για ειδικούς στον τομέα της ασφάλειας και της ψηφιακής ιατροδικαστικής,αφού κιόλας προορίζεται να παρέχει μια σειρά από εργαλεία ελέγχου διείσδυσης που θα χρησιμοποιούνται για μετριασμό επίθεσης, έρευνα ασφάλειας για κακόβουλα λογισμικά, εγκληματολογία και αξιολόγηση ευπάθειας.Αλλά περιλαμβάνει επίσης όλα όσα χρειάζεται για να αναπτυχθεί ένα λογισμικό ή για να προστατευθεί το ιδιωτικό απόρρητο ενός χρήστη, ενώ σερφάρει στο διαδίκτυο βοηθώντας να ελεγχθούν και να καθαριστούν και τα ηλεκτρονικά του αποτυπώματα προσφέροντας υψηλό επίπεδο ανωνυμίας.


ΕΚΔΌΣΕΙΣ ΤΟΥ PARROT OS


• Το Parrot Security έχει σχεδιαστεί για να αναπτύσσεται σε VPS. Το αρχικό λογισμικό Parrot OS έχει σχεδιαστεί με έλεγχο διείσδυσης, εγκληματολογία, ανάπτυξη και ακεραιότητα. Το Parrot OS έχει αρκετές στοχοθετημένες χρήσεις, αλλά δεν υποβαθμίζει την κύρια διανομή. Το Parrot Security OS είναι ένας στερεός επιτραπέζιος σταθμός γενικής χρήσης με πολλά εργαλεία ασφάλειας.

• Το Parrot Cloud στοχεύει τις εφαρμογές του διακομιστή, παρέχοντας στον χρήστη πρόσβαση στην πλήρη σουίτα εργαλείων ελέγχου διείσδυσης που περιλαμβάνονται στο Parrot Security, μείον το γραφικό εμπρόσθιο τμήμα.

• Το Parrot Studio έχει σχεδιαστεί με γνώμονα τη δημιουργία πολυμέσων.

• Το Parrot Air επικεντρώνεται στη δοκιμή διείσδυσης σε ασύρματα δίκτυα.

• Το Parrot IoT έχει σχεδιαστεί για να χρησιμοποιεί εξοπλισμό πόρων όπως τα Pine64, OrangePi και Raspberry Pi 3.

• Το Parrot Home είναι η βασική έκδοση του Parrot σχεδιασμένο για καθημερινή χρήση και στοχεύει τους τακτικούς χρήστες που χρειάζονται ένα ελαφρύ, πάντα ενημερωμένο και όμορφο σύστημα στους φορητούς ή τους σταθμούς εργασίας τους.Η διανομή έχει την ίδια εμφάνιση και αίσθηση σε ένα κανονικό περιβάλλον Parrot και περιλαμβάνει όλα τα βασικά προγράμματα καθημερινής εργασίας. Το Parrot Home περιλαμβάνει επίσης προγράμματα για ιδιωτική συνομιλία με ανθρώπους, κρυπτογράφηση εγγράφων με τα υψηλότερα κρυπτογραφικά πρότυπα ή περιήγηση στο Internet με απόλυτο ανώνυμο και ασφαλή τρόπο.Το σύστημα μπορεί επίσης να χρησιμοποιηθεί ως σημείο εκκίνησης για την κατασκευή μιας πολύ προσαρμοσμένης πλατφόρμας με μόνο τα εργαλεία που χρειάζεστε ή μπορείτε να τα χρησιμοποιήσετε για να δημιουργήσετε τον επαγγελματικό σταθμό εργασίας σας εκμεταλλευόμενοι όλες τις τελευταίες και πιο ισχυρές τεχνολογίες του Debian χωρίς προβλήματα.

ΠΉΓΕΣ https://en.m.wikipedia.org/wiki/Parrot_OS https://technewsingreek.blogspot.com/2014/01/parrot-security-os-penetration-tests.html https://en.m.wikipedia.org/wiki/List_of_digital_forensics_tools?fbclid=IwAR095yF6sy-gFZXuIEjtjuBZaCtFWkHSdQ0MdRPpARwYk-L8jEEUV2qJftE https://el.m.wikipedia.org/wiki/%CE%A8%CE%B7%CF%86%CE%B9%CE%B1%CE%BA%CE%AE_%CE%B5%CE%B3%CE%BA%CE%BB%CE%B7%C2%B5%CE%B1%CF%84%CE%BF%CE%BB%CE%BF%CE%B3%CE%AF%CE%B1 https://el.m.wikipedia.org/wiki/%CE%95%CE%B3%CE%BA%CE%BB%CE%B7%CE%BC%CE%B1%CF%84%CE%BF%CE%BB%CE%BF%CE%B3%CE%AF%CE%B1 https://parrotlinux.org/ https://howtotechnoglitz.com/greece/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BE%CE%B5%CE%BA%CE%B9%CE%BD%CE%AE%CF%83%CE%B5%CF%84%CE%B5-%CE%BC%CE%B5-%CF%84%CE%BF-parrot-security-os-%CE%AD%CE%BD%CE%B1-%CF%83%CF%8D%CE%B3%CF%87%CF%81%CE%BF%CE%BD/

WireShark(ΑΝΝΑ ΤΣΙΤΣΙΡΙΚΑ 4418241, ΜΑΝΟΥ ΜΕΡΟΠΗ 4418127)

[επεξεργασία]

Η εγκληματολογία υπολογιστών ή Forensic computing είναι ένας τομέας της ψηφιακής επιστήμης που ασχολείται με το ηλεκτρονικό έγκλημα που γίνεται με τη βοήθεια υπολογιστών και άλλων ψηφιακών μέσων και έχει ως σκοπό να αναλύσει τα ψηφιακά μέσα με στόχο τον εντοπισμό, τη διατήρηση, την ανάκτηση, την ανάλυση και τέλος την παρουσίαση των γεγονότων, και δεδομένων σχετικά με την εγκληματική ενέργεια, όπως η παιδική πορνογραφία, η άπατη, η κλοπή, η κατασκοπία, οι δολοφονίες και οι βιασμοί, που περιέχουν ή γίνονται με την βοήθεια ψηφιακών μέσων. Αρχικά ,όλα ξεκίνησαν περίπου την περίοδο του 1980, όταν η χρήση των ηλεκτρονικών υπολογιστών άρχισε να αυξάνεται και να παρατηρούνται παράνομες ενέργειες στο διαδίκτυο. Για την αντιμετώπιση αυτών των συμπεριφορών δημιουργήθηκε ένα μέσο πειθαρχίας που περιέχει μεθόδους διερευνήσεις ψηφιακών δεδομένων με στόχο τον περιορισμό, και την βοήθεια διεξαγωγής και ανάλυσης των απαραιτήτων πληροφοριών για την επιβολή του νομού.

Το Wireshark είναι ένα ελεύθερο λογισμικό ανοιχτού κώδικα. Δημιουργήθηκε στα τέλη της δεκαετίας 1990, όταν ο Gerald Combs, ήθελε να φτιάξει ένα πρόγραμμα ανάλυσης προϊόντων το οποίο να δουλεύει σε πλατφόρμες της εταιρίας στην οποία δούλευε, οι οποίες ήταν η Solaris και η Linux, μιας και τέτοιου είδους προγράμματα ήταν πολύ ακριβά εκείνη την εποχή. Χρησιμοποιείται για την ανάλυση πρωτοκόλλων δικτύου υπολογιστών. Συγκεκριμένα, η χρήση του είναι η ανάλυση και η παρακολούθηση δικτύων, έτσι ώστε να εντοπίζει και να αντιμετωπίζει τυχών λάθη βρεθούν στο δίκτυο αυτό.

Χαρακτηριστικά

[επεξεργασία]

Το Wireshark έχει παρόμοιο προγραμματιστικό περιβάλλον με αυτό του tcpdump, καθώς και παρόμοιο γραφικό περιβάλλον με αυτό του front-end, αλλά έχει πολλές περισσότερες επιλογές ταξινόμησης και χρήσης φίλτρων σε σχέση με τα δύο παραπάνω λογισμικά. Το κύριο χαρακτηριστικό του είναι ότι επιτρέπει στον χρήστη να έχει πρόσβαση στις λειτουργίες του δικτύων του και των ρυθμιστικών διευθύνσεων του interface, με την χρήση της κάρτας του δικτύου του, θέτοντας την σε λειτουργία promiscuous mode. Όμως, με την χρήση αυτής της λειτουργίας της κάρτας, δεν μεταφέρονται όλα τα πακέτα δικτύων , δηλαδή μια μορφοποιημένη μονάδα δεδομένων, που είναι για ανάλυση και έτσι το λογισμικό αυτό δεν έχει πλήρη πρόσβαση στις λειτουργίες του δικτύου. Για αυτό θα πρέπει ο χρήστης να έχει στην κατοχή του το post mirroring , ένα πρόγραμμα με κύρια χρήση την αποστολή αντιγράφων πακέτων ενός δικτύου και διάφορα taps δίκτυα (Terminal Access Point), των οποίων η λειτουργία είναι να παρακολουθεί τις διαδικασίες σε ένα τοπικό δίκτυο με σκοπό να βοηθήσει τους διαχειριστές να αναλύσεις το δίκτυο αυτό. Με την συνεργασία αυτών των δύο λογισμικών, επιτυγχάνεται η επέκταση της σύλληψης των πακέτων σε οποιοδήποτε σημείο του δικτύου.

iPhone Analyzer(Ευαγγελία Κουτρουλιά 4418103, Ηλιάνα Σπανδώνη 4418214)

[επεξεργασία]

Εισαγωγή

Η ραγδαία ανάπτυξη της τεχνολογίας και της επιστήμης των υπολογιστών στις μέρες μας, είναι γεγονός, αφού έχουν γίνει κομμάτι της καθημερινότητάς μας. Η τεχνολογία έχει αλλάξει τον τρόπο ζωής μας, παρ'όλα αυτά υπάρχει και μία σκοτεινή πλευρά σε όλα αυτά, που συμπεριλαμβάνει το ηλεκτρονικό έγκλημα, την υποκλοπή προσωπικών δεδομένων, την παράνομη πρόσβαση σε ιδιωτικά υπολογιστικά συστήματα, καθώς και επιθέσεις σε άτομα ή ακόμα και σε επιχειρήσεις. Εξαιτίας αυτής της πλευράς, αλλά και της συνεχόμενης αύξησης αυτών των κρουσμάτων, προέκυψαν τα Forensic Tools, τα οποία είναι εργαλεία που βοηθούν στην ανάκτηση και ανάλυση δεδομένων με νομικά αποδεκτό τρόπο και χρησιμοποιούνται στην ανίχνευση και αποτροπή του ηλεκτρονικού εγκλήματος από τους ειδικούς του κλάδου αυτού.

iPhone Analyzer

Το iphone Analyzer είναι ένα forensic tool κατασκευασμένο από τη Viaforensics, το οποίο επιτρέπει την εξερεύνηση και την ανάκτηση ψηφιακών δεδομένων από συσκευές iOS. Είναι φτιαγμένο έτσι ώστε να λειτουργεί σε όλες τις τελευταίες εκδόσεις των iOS, δηλαδή iOS2, iOS3, iOS4, iOS5. Ωστόσο, στις συσκευές με εκδόσεις iOS6 και μετά, δεν παρέχει πλήρη υποστήριξη και χρειάζεται επιπλέον επεκτάσεις ώστε να μπορέσει να προβάλλει videos και voice mails καθώς και μηνύματα MMS. Είναι ένα ανοιχτό λογισμικό το οποίο μπορεί να λειτουργήσει σε λειτουργικό Linux, Windows και πλατφόρμες Mac. Επιπρόσθετα, το iPhone Analyzer, πραγματοποιεί ταχεία αναζήτηση σε ολόκληρη τη συσκευή, και έχει τη δυνατότητα να ανακτά διαγεγραμμένα αρχεία, τα οποία δεν έχουν εκκαθαριστεί πλήρως από τη συσκευή και να τα εξάγει με μόνο ένα κλικ, καθώς επίσης και να επανακτά κωδικούς πρόσβασης.

Λειτουργία

Το iphone Analyzer είναι νέο εργαλείο στην αγορά των iphone forensics. Έχει πρόσβαση σε κρυμμένους φακέλους, οι οποίοι υπάρχουν μέσα σε μία συσκευή iPhone, iTouch ή iPad και μέσω μιας βιβλιοθήκης της Java, παρέχει τη δυνατότητα ανάκτησης property list ή p-list αρχείων (αρχεία που αποθηκεύουν τις ρυθμίσεις του χρήστη) και SQLite αρχείων (τοπική αποθήκευση δεδομένων από Browsers ή αρχεία που έχουν διαγραφεί αλλά δεν έχουν εκκαθαριστεί από τη συσκευή) με τη χρήση αντιγράφων ασφαλείας από το iTunes. Ακόμη πρέπει να σημειωθεί ότι επειδή λειτουργεί από τα αντίγραφα ασφαλείας τα πάντα είναι ασφαλισμένα, και δεν γίνεται να υπάρξει καμία αλλαγή στα αρχικά δεδομένα. Επίσης, υποστηρίζει πολλούς τύπους αρχείων, όπως μηνύματα, επαφές, εικόνες και αρχεία κλήσεων. Ακόμη υπάρχει υποστήριξη για τα αρχεία info.plist και manifest.plist, το addrees book, το ημερολόγιο και πολλούς άλλους τύπους. Σε κάθε περίπτωση, μέσω της γραμμής εντολών, ο χρήστης μπορεί να περιηγηθεί με μεγάλη ευκολία σε όλο το δέντρο καταλόγου καθώς επίσης μπορεί να δει μεμονωμένα αρχεία, αλλά και να αποκτήσει πρόσβαση στο πρωτόκολλο Secure Shell ή SSH (ένα πρωτόκολλο το οποίο καθιστά εφικτή τη μεταφορά δεδομένων μεταξύ δύο ηλεκτρονικών υπολογιστών), εάν η συσκευή είναι “σπασμένη”. Στη συνέχεια υποστηρίζει τη χαρτογράφηση με ή χωρίς σύνδεση στο διαδίκτυο, καθώς επίσης υποστηρίζει αρχεία Keyhole Markup Language ή KML ( αρχεία που εκφράζουν τη γεωγραφική απεικόνιση μέσω ίντερνετ, σε δισδιάστατους χάρτες και τρισδιάστατους περιηγητές της Γης), και τα εξάγει άμεσα στο Google Earth.

COFΕE (ΑΣΠΑΣΊΑ ΔΑΟΎΛΑ 4418047, ΣΆΡΑ ΣΓΟΥΡΑΛΉ 4418295)

[επεξεργασία]

O ηλεκτρονικός εγκληματολογικός απομακρυνσμένος υπολογιστής ηλεκτρονικών υπολογιστών (COFEE, Computer Online Forensic Evidence Extractor), είναι μία χρήσιμη εργαλειοθήκη η οποία αναπτύχθηκε από την Microsoft για να βοηθήσει τους ερευνητές ιατροδικαστικών υπολογιστών να εξάγουν στοιχεία από έναν υπολογιστή με Windows. Ως Ασφαλή Ανάκτηση και Ανάλυση Ψηφιακών Δεδομένων ορίζουμε την επιστήμη που έχει αντικείμενο την εφαρμογή μιας διαδικασίας μοντελοποίησης για την απόκτηση, την ανάκτηση, τη διατήρηση και την παρουσίαση των στοιχείων που έχουν υποστεί ηλεκτρονική επεξεργασία ή έχουν αποθηκευτεί σε ένα ηλεκτρονικό μέσο. H εταιρία Microsoft παρέχει χωρίς καμία χρηματική επιβάρυνση συσκευές COFEE και την ηλεκτρονική τεχνική υποστήριξη σε όλους τους οργανισμούς που έχουν ως αρμοδιότητα να επιβάλουν τον νόμο. Γενικά Το μοντέλο Forensics Process ( Διαδικασία εγκληματολογίας ) αποτελεί ένα γενικό διαδικαστικό μοντέλο – οδηγό που πρέπει να τηρείται σε κάθε περιστατικό διερεύνησης παραβιάσεων ασφάλειας. Το λογισμικό αυτό λοιπόν, αποτελείται από 150 εργαλεία και από ένα γραφικό περιβάλλον για να βοηθήσει τους ερευνητές στη συλλογή των στοιχείων. Η λειτουργία του COFEE βασίζεται σε τρία στάδια. Στο πρώτο στάδιο, οι ερευνητές επιλέγουν τα στοιχεία τα οποία θέλουν να αντλήσουν από τον υπολογιστή του υπόπτου. Το δεύτερο στάδιο είναι η αποθήκευση αυτών των δεδομένων σε ένα USB Flash Drive ή σε έναν εξωτερικό σκληρό δίσκο. Τέλος, το τρίτο στάδιο είναι μία αναφορά για τα δεδομένα τα οποία έχουν συλλεχθεί από τον υπολογιστή του υπόπτου. Επιπλέον, η Microsoft επισημαίνει ότι η συλλογή των στοιχείων με το COFEE γίνεται σε μόλις 20 λεπτά ενώ παλαιότερα η διαδικασία αυτή έπαιρνε από 3 έως 4 ώρες.To COFEE περιλαμβάνει εργαλεία για την αποκρυπτογράφηση του κωδικού πρόσβασης ,την αναγνώριση και την ανάκτηση όλου του ιστορικού στο Internet και την εξαγωγή άλλων δεδομένων.Ανακτά επίσης τα δεδομένα που είναι σε πτητική μνήμη τα οποία θα μπορούσαν να χαθούν εάν τεθεί εκτός λειτουργίας ο υπολογιστής του χρήστη.

Το COFEE εφευρέθηκε από τον Anthony Fung έναν πρώην αστυνομικό του Χονγκ Κουνγκ. Για πρώτη φορά η ιδέα για την κατασκευή και δημιουργία μιας συσκευής που θα δίνει λύση και βοήθεια σε όλες τις εγκληματολογικές υποθέσεις ξεκίνησε από συζητήσεις σε μία διάσκεψη τεχνολογίας το 2006. Η Microsoft και η Interpol υπέγραψαν μια μείζονος σημασίας συμφωνία τον Απρίλιο του 2009. Μέσα από την συμφωνία αυτή που υπογράφτηκε μεταξύ τους , η Ιnterpol θα λειτουργούσε ως κύριος διεθνής διανομέας της COFEE . Σημαντικό ρόλο και αφορμή για την απόφαση να πραγματοποιηθεί αυτή η νέα μεγάλη συνεργασία είναι η διαλεύκανση μίας υπόθεσης και την σύλληψη των υπαίτιων, όπως επικαλείται η Microsoft τον Απρίλιο του 2008 όπου αποδίδει στο COFEE την επιτυχία της έρευνας που διεξάχθηκε από τις αρχές της Νέας Ζηλανδίας σχετικά με την εμπορία παιδικής πορνογραφίας. Σήμερα η συσκευή COFEE χρησιμοποιείται από περισσότερους από δύο χιλιάδες αξιωματικούς σε τουλάχιστον δεκαπέντε χώρες. Η μεγάλη επιτυχία και όλα τα θετικά αποτελέσματα που έχει επιφέρει η COFEE, είχαν ως επακόλουθο την πρόσληψη του Anthony Fung ως ανώτερου ερευνητή στην ομάδα ασφάλειας, της ασφάλειας στο διαδίκτυο της Microsoft. Το Νοέμβριο του 2009 αντίγραφα του COFEE κυκλοφόρησαν παράνομα στο ευρύ κοινό μέσω των torrent sites, κάτι που το έχει επιβεβαιώσει και η Microsoft με επίσημη ανακοίνωσή της. Ακόμη, μία ομάδα προγραμματιστών το ίδιο έτος, δημιούργησε ένα άλλο λογισμικό, που ονομάζεται DECAF (Detect and Eliminate Computer Acquired Forensics),δηλαδή Ανίχνευση και Εξάλειψη των υπολογιστών που έχουν αποκτηθεί από την εγκληματολογία . Το λογισμικό αυτό υποσχόταν την προστασία των υπολογιστών από το πρόγραμμα COFEE. Στόχος του ήταν η παρακολούθηση σε πραγματικό χρόνο των υπογραφών του COFEE και σε περίπτωση εντοπισμού υπογραφής θα εκτελούνταν πολλές διεργασίες ταυτόχρονα στον υπολογιστή του υπόπτου, με απώτερο σκοπό την παρεμπόδιση της λειτουργίας του COFEE. Ωστόσο, το ίδιο έτος οι προγραμματιστές που δημιούργησαν το DECAF ανακοίνωσαν ότι το πρόγραμμα ήταν φάρσα και ποτέ δεν έκανε αυτό που υποσχέθηκε. Στις 18 Δεκεμβρίου του 2009 οι δημιουργοί του DECAF ανακοίνωσαν ότι το εργαλείο που είχαν εφεύρει αποτελούσε μια φάρσα και ήταν μέρος ενός κόλπου για την ευαισθητοποίηση για την ασφάλεια και την ανάγκη για καλύτερα ιατροδικαστικά εργαλεία.

CAINE (Αργυρώ Φρατζεσκάκη 4418249, Θάλεια-Ιωάννα Μαργαριτοπούλου 4418129)

[επεξεργασία]

Το CAINE είναι ένα περιβάλλον ανοικτού κώδικα μέσω του οποίου μπορούν να διεξαχθούν εγκληματολογικές έρευνες σε έναν υπολογιστή. Είναι μια ιταλική διανομή του Linux με διευθυντή τον Nanni Bassetti. Οι κύριοι στόχοι σχεδιασμού που η CAINE στοχεύει να εγγυηθεί είναι οι εξής:

  1. Να είναι ένα περιβάλλον που υποστηρίζει τον ψηφιακό ερευνητή κατά τη διάρκεια των τεσσάρων φάσεων της ψηφιακής έρευνας δίνοντας του τη δυνατότητα να συνδέεται και να λειτουργεί με άλλα συστήματα, χωρίς περιορισμούς στην πρόσβασή ή φραγμούς στην υλοποίηση.
  2. Να είναι μια φιλική προς το χρήστη γραφική διεπαφή.
  3. Να διαθέτει φιλικά προς το χρήστη εργαλεία.

Όπως αναφέρθηκε προηγουμένως το CAINE είναι ανοιχτού κώδικα, κάτι το οποίο επιτρέπει στον καθένα να τροποποιήσει το έργο του προηγούμενου προγραμματιστή. Επιπλέον υπάρχει μια έκδοση επίσης ανοικτού κώδικα που προγραμματίστηκε ιδικά για τις ανάγκες των Windows και είναι δωρεάν[1]. Το CAINE βασίζεται στο Ubuntu 16.04 64-bit, χρησιμοποιώντας τον πυρήνα Linux 4.4.0-97. Οι απαιτήσεις συστήματος CAINE είναι ίδιες με του Ubuntu 16.04 (επεξεργαστής διπλού πυρήνα 2 GHz ή καλύτερο, μνήμη συστήματος 2 GB). Μπορεί να λειτουργεί σε ένα φυσικό σύστημα ή σε ένα περιβάλλον εικονικής μηχανής. Περιέχει βιβλιοθήκες και διαθέτει ενέργειες που μπορούν να χρησιμοποιηθούν σε γραφικό περιβάλλον ή περιβάλλον γραμμής εντολών για την εκτέλεση εγκληματολογικών εργασιών. Επιπλέον μπορεί να πραγματοποιήσει ανάλυση δεδομένων σε λειτουργικά συστήματα όπως Microsoft Windows και Linux. Ορισμένα από τα εργαλεία που περιλαμβάνονται στη διανομή CAINE είναι:

  1. Sleuth - Εργαλεία γραμμής εντολών ανοιχτού κώδικα που υποστηρίζουν την εγκληματολογική έρευνα του όγκου του δίσκου και της ανάλυσης του συστήματος αρχείων.
  2. Autopsy - Πλατφόρμα ψηφιακής εγκληματολογίας ανοιχτού κώδικα που υποστηρίζει την εγκληματολογική ανάλυση των αρχείων, το φιλτράρισμα των κατακερματισμών, την αναζήτηση λέξεων-κλειδιών και τα e-mail. Το Autopsy είναι η γραφική διεπαφή του Sleuth .
  3. Tinfoleak - Εργαλείο ανοιχτού κώδικα για τη συλλογή πληροφοριών από το Twitter.
  4. RegRipper - Εργαλείο ανοικτού κώδικα, γραμμένο σε Perl, εξάγει / αναλύει πληροφορίες (κλειδιά, τιμές, δεδομένα) από τη βάση δεδομένων μητρώου για ανάλυση δεδομένων.
  5. PhotoRec - Υποστηρίζει την αποκατάσταση χαμένων αρχείων από σκληρό δίσκο, ψηφιακή φωτογραφική μηχανή και οπτικά μέσα.
  6. Fsstat - Εμφανίζει στατιστικές πληροφορίες συστήματος αρχείων για μια εικόνα ή ένα αντικείμενο αποθήκευσης.
  7. Abiword - Πρόγραμμα επεξεργασίας κειμένου.
  8. Fklook - Κάνει αναζήτηση για μια λέξη-κλειδί σε πολλαπλά αρχεία και αποθηκεύει μόνο αυτά στα οποία βρέθηκε η λέξη-κλειδί σε ένα κατάλογο της επιλογής του χρήστη.
  9. Ddrescue - Εργαλείο επαναφοράς δεδομένων ακόμη και σε περιπτώσεις σφαλμάτων ανάγνωσης.
  10. Dvdisaster - Αποθηκεύει δεδομένα σε CD/DVD/BD έτσι ώστε να είναι πλήρως επανακτήσιμα ακόμη και σε περιπτώσεις σφαλμάτων ανάγνωσης.[2][3]

Open Computer Forensics Architecture (ΟΡΦΕΑΣ ΚΟΥΣΙΟΓΛΟΥ 4418101, ΑΝΑΣΤΑΣΙΑ ΒΑΦΕΙΑΔΗ 4418019)

[επεξεργασία]

Digital Forensics

Η Ψηφιακή Εγκληματολογία(Αγγλ: Digital Forensics) αποτελεί κλάδο της εγκληματολογίας και αντικείμενό της είναι η ανάκτηση, έρευνα και ανάλυση ψηφιακών δεδομένων, τα οποία εντοπίζονται σε υπολογιστές ή άλλες συσκευές που είναι συνήθως εμπλεκόμενες σε κάποιο ηλεκτρονικό ή και μη ηλεκτρονικό έγκλημα, με σκοπό την εύρεση και ανάλυση ηλεκτρονικών, ακέραιων και νομικά έγκυρων στοιχείων. Ανάλογα με τον τύπο των συσκευών, των μεσών ή των αντικειμένων, η ψηφιακή εγκληματολογία είναι χωρισμένη σε διάφορους κλάδους, όπως η Εγκληματολογία υπολογιστών, κινητών συσκευών, δικτύων και άλλα. Αρχικά, ο όρος Ψηφιακή Εγκληματολογία αναπτύχθηκε με διαφορετικό νόημα από σήμερα, καθώς θεωρούνταν παρεμφερές με την Εγκληματολογία Υπολογιστών. Στη συνέχεια ωστόσο επεκτάθηκε ώστε να καλύψει και άλλα είδη εγκλήματος ή συσκευών.

Διαδικασία της Ψηφιακής εγκληματολογίας

Η διαδικασία αναλυτικής διερεύνησης ψηφιακών δεδομένων γίνεται με βάση αυστηρούς κανόνες και χρησιμοποιωντασ ειδικό υλικό και εφαρμογές λογισμικού. Τα τρία στάδια από τα οποία αποτελείται μια ψηφιακή εγκληματολογική έρευνα είναι η απόκτηση, η ανάλυση και η αναφορά των εκθεμάτων. Συνήθως, η απόκτηση γίνεται μέσω της λήψης μιας εικόνας της RAM του υπολογιστή και τη δημιουργία ενός ακριβούς αντιγράφου των μέσων, ενώ παράλληλα χρησιμοποιείται μία write blocking συσκευή, η οποία εμποδίζει την οποιαδήποτε τροποποίηση του πρωτοτύπου. Η εμφάνιση νέων τεχνολογιών όπως το cloud computing, και η επέκταση της χωρητικότητας των μέσων αποθήκευσης, είχε ως αποτέλεσμα την ευρύτερη χρήση της "ζωντανής" απόκτησης. «Ζωντανή απόκτηση» ονομάζεται η λήψη ενός λογικού αντιγράφου των δεδομένων αντί ενός αντιγράφου της φυσικής συσκευής αποθήκευσης. Και στις δύο περιπτώσεις, το αποκτηθέν αντίγραφο κρυπτογραφείται(hashed), χρησιμοποιώντας αλγοριθμους όπως ο SHA-1 ή ο MD5, για την επαλήθευση της ακρίβειας του αντιγράφου. Κατά τη διάρκεια της ανάλυσης, ο ερευνητής χρησιμοποιεί διάφορες μεθόδους και εργαλεία, με σκοπό την ανάκτηση χρήσιμων, για αυτόν, αποδεικτικών στοιχείων και στη συνέχεια, περνώντας στην φάση της αναφοράς, χρησιμοποιεί τα στοιχεία αυτά για τη σύνταξη μίας αναφοράς, με σκοπό την κατάληξη σε κάποια συμπεράσματα.

Open Computer Forensics Architecture

Το Open Computer Forensics Architecture (OCFA) είναι ένα framework εγκληματολογίας υπολογιστών, ανεπτυγμένο από την Ολλανδική Αστυνομία, με σκοπό την διευκόλυνση της διαδικασίας ανάλυσης ηλεκτρονικών αποδεικτικών στοιχείων. Ουσιαστικά, το OCFA είναι ένας συνδυασμός από ήδη υπάρχοντα εργαλεία forensics και βιβλιοθήκες, καθώς έχει ενσωματωμένα άλλα open source forensics, και μη, εργαλεία όπως το Sleuth Kit, το Scalpel, το GNU Privacy Guard, το exiftags, το objdump και άλλα. Το OCFA χωρίζει τη διαδικασία σε δύο επίπεδα. Στο πρώτο επίπεδο, ειδικοί με γνώσεις από digital forensics εξάγουν δεδομένα από συσκευές, όπως σκληρούς δίσκους. Στη συνέχεια, περνώντας στο δεύτερο επίπεδο, οι εγκληματολόγοι αναλύουν τα δεδομένα και ψάχνουν αποδεικτικά στοιχεία χρησιμοποιώντας ένα απλό user interface. Το OCFA είναι χτισμένο πάνω σε Linux και η χρήση του στο πρώτο επίπεδο της εξαγωγής υλικού χρειάζεται κάποιες γνώσεις στην SQL γλώσσα. Επειδή οι ερευνητές αντιμετωπίζουν δυσκολίες στην διαχώριση των χρήσιμων με τα άσχετα , για αυτούς, αρχεία, το OCFA βοηθάει τους ερευνητές να χαρακτηρίσουν και να εντοπίσουν τα αρχεία ενδιαφέροντος, χρησιμοποιώντας το file για να βρει το είδος αρχείου και στη συνέχεια αναλύει αυτόματα κάποια αρχεία συγκεκριμένου είδους. Το OCFA χρησιμοποιεί διάφορα εργαλεία για διαφορετικές δουλειές. Συγκεκριμένα, χρησιμοποιεί το Lucene για την κατάταξη διαφόρων εγγράφων του Office σε πίνακες, το antiword για να εξάγει ακατέργαστο κείμενο, το pdftotext για μετατροπή PDF αρχείων και το mailwash για την εξαγωγή αρχείων και metadata από mailboxes.

Πηγές

http://ocfa.sourceforge.net/
http://www.linux-magazine.com/Issues/2008/93/OCFA
https://en.m.wikipedia.org/wiki/Computer_forensics
https://en.m.wikipedia.org/wiki/Digital_forensics

 Γ. Πάγκαλος, Χ. Ηλιούδης, Προστασία της ιδιωτικότητας και Τεχνολογίες Πληροφορικής και Επικοινωνιών, Εκδόσεις Παπασωτηρίου, ISBN 978-960-7182-70-8