Pimp my drive

Jeg tror ikke vi har hørt om datasmuglere med kunstig pacemaker, men det kommer og det er uetisk å etterprøve — hvis du tar feil. Igjen er det tid for blogging, og denne gangen konkret på sikkerhet og etterforskning, etterfulgt av punktlister med naturlige verktøy.

I 1898 demonstrerte Nikola Tesla en radiostyrt båt som hadde sikker kommunikasjon mellom sender- og mottakerutstyr. En av de mest kjente formene for sikker kommunikasjon var Green Hornet i andre verdenskrig, da Churchill ringte til Roosevelt, for å snakke om flytting av tropper. Nazistene hadde lyttestasjon i Holland og kunne avlytte samtaler som ble sendt over vanlig radio. Med Green Hornet ville lytterne kun høre radiostøy, siden det bare var to identiske kopier av utstyret. Dette ble liksom startskuddet for sikker kommunikasjon.

Ulike typer for sikkerhet i kommunikasjon

• Programkode
• Kryptering
• Stenografi
• Identitetsbasert kryptering (IBE)

Programkode er typisk antivirus, brannmur og webfiltrering og andre programmer som nøytraliserer fiendtlig innhold. Kryptering gjør data uleselig for uvedkommende. Stenografi betyr skjult skrift. Data skjules i flere filer, som å lagre bilder i MP3-filer og Word-dokumenter strødd over Internett, der alle filene som ble brukt må være på plass for å dekryptere. Identitetsbasert kryptering (IBE) kan være en person eller en organisasjon som har utlevert sin offentlige nøkkel. Nøkkelen tilknyttes en e-postadresse, et domenenavn eller en IP-adresse. E-post sendt hit kryptert, kan bare leses av den som har den private nøkkelen i form av personlig passord eller som fingeravtrykk. I tillegg kommer anonymiserte nettverk som Tor, Ipredator, I2P og Mixminion (e-post). Alle disse alternativene bør skje i kombinasjon for best sikkerhet.

Internettkafé er vanligvis anonymt, men det finnes lytteposter som Carnivore og Echelon som overvåker kommunikasjon. Carnivore og Echelon kan lese e-post, telefakser og nettadresser, telefoni og mye annet som blir sendt ukryptert.

Verdt å legge seg i minnet når det gjelder anonyme proxyer, er at disse kan sende informasjon som kommer fram i HTTP_VIA, HTTP_X_FORWARDED_FOR eller HTTP_FORWARDED. Dette er vanligvis noe nettleseren sender, og en nettleser som bruker Inkognito (.. som reiser uten navn) kan begrense hvilken informasjon som blir videreformidlet her.

Begrepet skjult kommunikasjon (ofte gjennom store folkemengder)

• Det er vanskelig å finne ut hvem som sier hva når det kommer fra en stor folkemengde.
• Anonymt kommunikasjonsutstyr (uregistrerte telefoner, Internettkafé)
• Anonyme proxyer (anonyme proxyer kan minne om prating i store folkemengder)
• Ruterte metoder, slik som uautorisert tilgang gjennom tredjeparter eller switcher og rutere

Skjule at kommunikasjon har funnet sted

• SBO (security by obscurity) motparten får ingen pålitelige kilder til å samle informasjon, minner om nåla i høystakken og,
• det i kombinasjon med tilfeldig fremfor genuin dataflyt, da blir selve analysen mindre pålitelig

Metoder som kan true sikkerheten

• Hacking, tastaturlogging (program- og maskinvare), andre bakdører, og direkte overvåkning av elektroniske signaler som er gitt av tastatur og skjermer for å rekonstruere data (tempest-metoden kan lese en dataskjerm på en bærbar PC på opptil 100 meters avstand).
• Laseravlytting - en sensitiv laser peker på et bestemt vindu (eller et bilde på veggen) kan måle vibrasjoner i glasset, og få dette tilbake som lyd. Som for med (kryptert) telefoni vil all verbal kommunikasjon være best egnet i støyende omgivelser.
• Mobiltelefoner kan trianguleres hvis ikke batteriet fjernes fysisk. I nyere modeller finnes GPS som tillater avlesing av FIFO-buffer (fra første punkt). Mobiltelefoner med dobbel kryptering kan brukes (programvare- og maskinvarekryptering). Telefonen starter naturligvis en oppkobling til det mobile datanettverket (EDGE/3G) eller roaming til den krypterte samtalen. Data av betydning som kan analyseres vil være endepunkt, lengde og trafikkvolum.

Data pimping er intra-ISP spyware som kartlegger brukeraktiviteten på Internett, og Telenor kan vise meldinger på skjermen til kundene når de surfer på Internett. Dette er normalt ikke noe som knyttes til trusler mot sikkerheten, men irritasjon. Aktuell programvare som benyttes er Front porch, NebuAd og Phorm.

Med anonymitet og sikkerhet på Internett forstår vi

Brannmur OpenVPN Psiphon JAP (Java Anon Proxy) Tor, iPredator HTTP tunnel Chaum mixes

FreeS/WAN IPsec OpenVPN PGP SRTP StrongSwan (Linux)

I e-postkommunikasjon OpenPGP S/MIME TLS Identitetsbasert kryptering

PGP og e-postkryptering GNU Privacy Guard cGeep Pro (MS Outlook) OpenPGP Authora Veridis PsypherOPS

Ulike analyseverktøy og utforskere

Ekstraksjon av statisk informasjon fra nettverkstrafikk som har relevans.

• Statistikk (protokollbruk, endepunkt i nettverk, samtalelengder, trafikkvolum)
• Varslingsdata
• Nettsider
• E-poster
• Chat
• Filer som blir overført
• Telefonsamtaler

Verktøy som kan gjøre slike analyser

• Wireshark (og tshark-verktøyet for sporing av unike IP-par i en chatsamtale)
• NetIntercept – lar deg se bilder som blir overført i nettverket
• tcpdump
• NetWitness Investigator

Trinnene og loggfiler som blir generert i et dataangrep

1. Angriper med datautstyr
2. VPN (Logg for autentisering og IP-adresser)
3. Ruter (NetFlow logger)
4. Brannmur (Adgangslogger)
5. IDS (IDS varslinger)
6. Angrepet maskin (System- og applikasjonslogger)

Verktøy til analyse

• NfSen
• CERT NetSA SiLK
• Orion NetFlow Traffic Analyzer

USB-tilkoblinger

UVCView er et verktøy som gjør en enkel analyse av hvilke USB-enheter som har vært tilkoblet, og tidspunkt for tilkobling. Denne tabellen finnes i Windows.

E-postanalyser

Det finnes ulike verktøy som analyserer komprimerte mapper med e-post, til Outlook spesielt.

• grepmail
• Mairix – kraftigere verktøy
• dtSearch

Microsoft Office metadata

Verktøy til avlesing av metadata i Office-dokumenter.

• Pinpoint Laboratories Metaviewer
• Lance Mueller’s Office Metadata EnScript

Internettlesere Firefox, Opera og Internet Explorer

Slike midlertidige filer kan rekonstrueres. Dersom om en terrorist har sett på kart, så er det mulig å sette sammen de bildene som et puslespill. Til slike analyser brukes gjerne NetIntercept.

• Firefox 3 Forensics
• FoxAnalysis
• CacheView
• MozillaCacheView

Analyse av utskrifter (forutsetter utskrifter blir lagret)

I bedrifter lagres ofte en kopi av alle dokumentene som skrives ut. Dette er en innstilling som kan settes på hver enkelt skriver. Om ikke på server, så lagres dokumentene i mappen:

c:\windows\system32\spool\printers

Disse filene kan skrives ut igjen, eller åpnes og leses med verkøy som EMF Printer Spool File Viewer.

NTFS og MFT

Avlesing av MFT er ofte hva som omtales som «dypdykk». Det er likevel begrenset hva som kan finnes her, spesielt om filene er slettet med sikker sletting (se Heidi i anonym på Internett, og om nedlasting direkte til SD-kort eller USB).

Aktuelle verktøy

• EnCase
• FTK imager
• ProDiscover Basic

I tillegg vil en gjerne se dato og eller tidsforskjeller mellom NTFS og FAT, som kan leses av med verktøyet DCode.

Noen andre (mindre profesjonelle) verktøy som er enkle å bruke kan være

• SoftPerfect File Recovery (gratisversjonen i bunnen) og,
• UltraExplorer

Utforsking av papirkurven i Windows

RIFIUTI – leser INFO2-filer, og viser når papirkurven sist ble tømt av brukeren.

Analyse av mobiltelefoner

Hvis du bare skal lese data som er slettet fra et (eksternt) minnekort i en mobiltelefon, finner du mye med SoftPerfect’s File Recovery. I andre tilfeller finner du programvare som graver litt dypere i minnet.

• XRY Micro Systemation
• HEX M-FILTER

VoIP

Det finnes massevis av VoIP-programmer som krypterer tilkoblingen, og noen tilnærminger til sikker kommunikasjon finnes her:

• ZFONE VoIP
• PGPfone
• Twinkle VoIP (Linux)
• Gizmo5 (kjøpt av Google)

IRC og BNC

BNC (bouncer) lar brukeren skjule sin adresse. BNC er aktuelt i IRC hvor en bruker framstår som USER!user@255.255.255.0 eller USER!user@darkstar.net. BNC kan brukes i FTP-sammenheng, for å skjule brukeren og serveren fra andre.

Aktuelle programmer

• WinVNC
• muh
• shroudBNC
• ZNC

BitLocker krypterer sikkert, men

BitLocker kan på visse vilkår dekrypteres av uautoriserte når maskinen kjører. Fremgangsmåten for dette er å kjøre scriptet manage-bde.wsf. Den som skal overta må ha medbrakt cscript.exe og manage-bde.exe (finnes i c:\windows\system32\).

Den som overtar kjører kommandoen cscript manage-bde.wsf -protectors -get e:. Samtidig må en annen datamaskin være tilkoblet, med programvare som EnCase Forensic med Decryption- modulet. Den som overtar kan deaktivere BitLocker midlertidig med kommandoen cscript manage-bde.wsf -protectors -disable e:. Isåfall vil krypteringen være ubrukelig.

Men mister datamaskinen strøm blir alle data uleselige.