Archives par mot-clé : Les outils

L’angoisse de l’intervention

Publié le par

Les Officiers de Police Judiciaire qui me contactent dans le cadre d’une enquête ont souvent de mon activité d’expert judiciaire une vision très particulière: je suis celui pour qui l’informatique n’a aucun secret.

C’est assez flatteur au premier abord, mais très stressant dès qu’il s’agit de ne pas décevoir les personnes qui vous font confiance.

Toute cette histoire commence comme d’habitude par un coup de téléphone: il s’agit d’intervenir dans une entreprise dans laquelle un salarié aurait commis une indélicatesse informatique.

Les OPJ me donnent quelques informations sur l’infraction, mais aucun détail technique: ni l’architecture du système informatique, ni le système d’exploitation utilisé, ni le nombre d’ordinateurs…

Me voici donc en route pour une destination technique inconnue.

Le fait de m’aventurer en terrain inconnu présente un certain charme sinon je n’aurais pas été passionné par la spéléologie, ni enseignant-chercheur, ni responsable informatique, ni responsable technique, ni conseillé municipal, ni papa de trois enfants… mais je suis quelqu’un de particulièrement inquiet de nature.

Je sais pourtant que l’inconnu fait parti de la vie. Je dirai même que c’est le sel de la vie. Oui, mais débarquer dans une entreprise pour chercher la trace d’une malversation sans connaitre le moindre élément technique reste pour moi une situation éprouvante.

Je n’aime pas particulièrement intervenir sur un lieu de travail, sous les yeux des salariés, en perturbant leur vie sociale. J’ai toujours l’impression de ne pas être à ma place.

Alors, et si mes collègues experts judiciaires qui le lisent veulent bien compléter cette liste, voici ce que je place dans ma valise:

– le boot CD d’analyse inforensique DEFT (ma distribution favorite depuis qu’HELIX est devenue payante);

– les outils de l’informaticien (tournevis de toutes tailles et de toutes formes)

– stylos et bloc notes (rien de plus gênant que d’avoir à demander sur place)

– un dictaphone numérique

– un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d’image en direct (perso j’utilise un disque dur SATA d’1,5 To dans un boitier externe USB, qui me sert également de “clef” USB)

– une lampe électrique, un bouchon 50 ohms et un connecteur en T (lire ICI pourquoi)

– quelques uns des outils conseillés par les dieux des réseaux universitaires

– le live CD d’ophcrack, c’est toujours impressionnant de trouver les mots de passe tout seul

– un câble réseau, un prolongateur et un câble croisé

– une boite de DVD à graver (et quelques disquettes formatées, cela sert encore…)

– une bouteille d’eau et un paquet de biscuits

[EDIT du 25/05/09 9h21 suite au commentaire de Stefan]

– un appareil photo

– un GPS

– du ruban adhésif toilé et résistant

– des élastiques de toutes tailles et des trombones.

– un clavier souple ne craignant pas l’humidité avec la connectique qui va bien.

– un tabouret en toile

– vis, patafix, colliers…

L’expert qui demande un trombone pour faire démarrer l’alim d’un PC passe pour un dieu. Celui qui ne trouve pas de trombone passe pour un c.n

[/EDIT]

[EDIT du 26/05/09 suite au commentaire de David Billard]

– disque eSATA (au lieu d’USB) ou mieux une tour sur roulette avec carte SATA adaptec + quelques disques vierges de rechange

– un ventilateur pour les disques

– une petite imprimante

– toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.)

– des étiquettes / pastilles de couleur, des stylos et des feutres.

[/EDIT]

[EDIT du 27/05/09 suite au commentaire de Kilhian]

– un petit switch 10/100/1000

– un cable serie

– un cable usb

– une nappe IDE

– une nappe SATA

– des adaptateurs USB, SATA, IDE

[/EDIT]

Cela n’empêche pas la boule d’angoisse de se former lorsque l’on pousse la porte du lieu d’intervention (c’est une image, je suis loin derrière les forces de l’ordre).

Et bien sur, avant de partir en mission sur les lieux, ne pas oublier de demander s’il y a toujours de l’électricité. C’est une question qui fait toujours son petit effet…

Une aide pour vos recherches sur Google

Publié le par

Le moteur de recherche Google a fini par être un outil incontournable de recherche d’informations. S’il semble que la majorité des utilisateurs fasse des requêtes contenant moins de trois mots clefs, il m’apparait indispensable qu’un expert judiciaire en informatique maîtrise parfaitement ce moteur de recherche.

Il faut donc être capable d’en connaître tous les ressorts.

Exemple: je voudrais savoir si le livre “Candide” de Voltaire est disponible sur la toile. Je tape alors sur google la requête suivante:
-inurl:(htm|html|php) intitle:”index of” +”last modified” +”parent directory” +description +size +(.txt|.odt|.doc|.rtf|.pdf) “candide”

Me voici à la tête d’une dizaine de liens parmi lesquels je peux trouver cette œuvre magnifique. Il ne me reste plus qu’à vérifier la légalité de son téléchargement (et ça, c’est un autre problème!) avant d’entreprendre sa lecture sur mon écran d’ordinateur.

Bien sur, une telle capacité de maîtrise doit être associée au courage de la saisie de longue requête, sans faute de frappe… ainsi qu’à une bonne connaissance de la syntaxe du moteur de recherche.

Et comme ce n’est pas donné à tout le monde, Google a mis en place l’outil Google Hacks

Cet outil “magique” permet de générer des recherches sur Google dont vous n’aviez même pas pensé l’existence! Cela permet de mieux connaître la syntaxe de ce moteur de recherche tout en réalisant des recherches beaucoup plus pointues et poussées.

Enfin, comme je le rappelai dans mon billet sur les mots de passe, il n’est pas inutile de rappeler que toute utilisation illégale de ce type de logiciel entraine votre responsabilité juridique.

PS: Si vous êtes sous Firefox, l’installation cherche à installer un plugin qu’il vous suffit de refuser pour ne pas modifier votre navigateur favori.

————–
Source photo Dark Roasted Blend

Craquer les mots de passe

Publié le par

Il y a de nombreuses circonstances où savoir craquer les mots de passe peut être particulièrement utile. Par exemple, lorsqu’un fournisseur a mis un mot de passe inconnu sur le compte administrateur d’une machine qui vous appartient.

Flashback:

L’entreprise de formation où je travaille a ouvert un centre au Maroc. Je dois en piloter toute l’informatique (achat, installation, maintenance…) sans personnel informatique sur place. J’ai donc choisi de procéder de la façon suivante:

– expressions des besoins par les utilisateurs et validation technique par mes soins

– achats par le directeur marocain (négociations avec les fournisseurs et choix)

– livraisons et déballages par un technicien du fournisseur

– installations par un professeur marocain du composant logmein pour prise de contrôle à distance (produit gratuit et très performant!)

– configurations et installations à distance des logiciels pédagogiques. Pour ce dernier point, j’ai mis en place cet été un serveur Citrix XenApps qui permet l’utilisation au Maroc d’applications installées en France dans ma notre salle serveurs. Les publications de nouvelles applications (fréquentes dans le monde de l’enseignement) ne nécessitent donc pas de déplacement au Maroc.

Back to the present:

Mais la mise en place d’un système informatique complet demande malgré tout de venir sur place de temps en temps. J’ai déjà décrit mes aventures une fois, deux fois, trois fois, quatre fois, pour trois missions à Casablanca (trois emménagements du centre de formation).

Et lors de la dernière intervention, il m’a fallu raccorder au réseau 10 PC dont le fournisseur n’avait pas indiqué le mot de passe administrateur. Le temps m’étant compté très juste, je ne pouvais pas procéder à la réinstallation complète des postes.

Comment trouver ces mots de passe?

C’est là où l’activité d’expert judiciaire en informatique fournit une aide appréciée lors de mon activité professionnelle: la connaissance de l’outil ad hoc pour ce genre d’intervention: ophcrack et son “live cd”. Ophcrack est un craqueur de mots de passe Windows basé sur des tables arc-en-ciel. Il récupère 99,9% des mots de passe alphanumériques en quelques secondes. Le “live cd” permet de trouver les mots de passe sans rien installer sur la machine visée, alors que l’installation locale permet de personnaliser les tables arc-en-ciel.

En moins d’une demi-heure, j’avais les dix mots de passe des comptes administrateurs.

Lire aussi: liste d’outils de sécurité.

The future:

Pour les étudiants-administrateurs informatiques, voilà une bonne raison de configurer les postes de travail Windows de façon à ce qu’ils ne puissent pas démarrer sur cédérom (ni sur port USB) et de limiter les droits d’accès des utilisateurs.

Sans oublier bien entendu d’utiliser des mots de passe “administrateur Windows” différents de celui ceux utilisés en salle serveurs.

Il n’est enfin pas inutile de rappeler que toute utilisation illégale de ce type de logiciel entraine votre responsabilité juridique.

——————–

Crédit images darkroastedblend.com

Live view

Publié le par

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d’expert judiciaire en informatique, et réciproquement.

J’ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d’entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d’études de différents systèmes d’exploitation, analyse réseaux, etc), j’utilise avec succès les produits VMware dans le service informatique: d’abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J’ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d’une expertise judiciaire informatique? Tout simplement, comme je l’expliquais dans ce billet, s’il est important de disposer des logiciels permettant de procéder à l’analyse inforensique d’une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l’ordinateur. Et pour éviter de déployer l’image sur un ordinateur matériel, l’idée d’utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l’image numérique du disque dur en une machine virtuelle VMware à l’aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d’exploitation étant conservées sur un autre disque dur virtuel (qu’il est facile d’effacer rapidement).

Vous disposez ainsi d’une machine virtuelle redémarrable et réinitilisable à l’infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la “photographie” du scellé d’origine (l’image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d’écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d’EnCase® Forensic. A 5000 euros la licence, je n’ai pas le volume d’affaires pour m’offrir cet outil performant…

Un dernier truc concernant Live View: je ne l’ai utilisé que pour créer des machines virtuelles Windows. Il semble n’avoir qu’un support limité de Linux. Cela ne me gène pas car pour l’instant, je n’ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d’activation de l’OS, il faut “coller” au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l’image “from scratch”. Dans le cas d’un Windows XP sans service pack, il faudra passer par la procédure d’activation…

Mais dans tous les cas, comme je j’avais déjà indiqué, avec Live View, la vue, c’est la vie rtualisation:)

Récupération d’images et plus encore

Publié le par

Vous êtes un particulier, vous avez perdu dix années de photographies numériques parce que votre petit dernier a malencontreusement effacé deux ou trois répertoires de votre disque dur en faisant le ménage (mais bon, ils étaient gros, et ça fait de la place maintenant…).

Vous êtes un jeune expert et vous hésitez à dépenser 5000 euros dans un logiciel d’analyse inforensique parce que, heu, deux expertises par an, c’est pas beaucoup…

Vous êtes N-TECH (gendarme spécialisé issu du CNFPJ Centre National de Formation de Police Judiciaire de Fontainebleau), et vous avez égaré votre «lot enquêteur».

Vous êtes ESCI (Enquêteur Spécialisé en Criminalité Informatique – Police National), mais vous ne retrouvez plus la clef d’activation de votre logiciel Marina (Moyen Automatique de Recherche d’Images Non Autorisées).

Vous êtes journaliste et vous ne retrouvez pas l’image que vous avez prise et merde-c’est-le-bouclage/j’ai-pas-de-sauvegarde/qui-a-touché-mon-portable

Ou tout simplement curieux de voir toutes les images cachées au fil du temps dans les recoins de votre ordinateur.

Alors, ce billet est pour vous.

Je suppose que nous sommes dans le cas d’une analyse d’une copie du disque dur. Pour réaliser une telle copie, vous pouvez déjà lire ce billet toujours d’actualité.

En tout cas, votre disque dur doit encore fonctionner et ne pas être crypté (avec bitlocker par exemple) car je n’aborde pas ici l’analyse post-mortem, ni l’analyse de la mémoire vive

Enfin, il ne s’agit pas d’effectuer une analyse complète des données du disque dur comme vous pouvez vous entrainer à le faire ICI.

Hypothèse: vous avez une image ISO (ou dd) de votre disque dur et vous aimeriez bien en analyser les images.

Il vous faut cet outil: PhotoRec qui est capable de mener à bien cette analyse avec un nombre incroyable de formats d’images.

Il s’agit d’un billet du vendredi, alors ne comptez pas sur moi pour vous écrire un mode d’emploi, surtout que le site de PhotoRec est très complet.

Et vous savez quoi, ce logiciel permet également de récupérer toutes sortes de fichiers: des fichiers cachés sur cédérom, des fichiers GPG et leur clef effacés, et au total plus d’une centaine de format de fichiers!

Ce logiciel travaille bien sur filesystem FAT, NTFS, ext2/ext3, HSF+.

Il fonctionne avec des disques durs, CD-ROM, CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives…

Bravo à Christophe GRENIER pour ce travail exemplaire!

D’ailleurs, si vous avez quelques pièces anciennes à lui faire passer

Felix qui potuit rerum cognoscere causas (ou pas)

———————-

Image crédit Dark Roasted Blend

La vue, c’est la vie

Publié le par

J’ai déjà rapidement présenté comment je procède pour prendre une image du disque dur d’un scellé (lire ce billet).

En résumé:

– soit extraction du disque dur de l’unité centrale et mise en place dans un PC muni d’une carte giga et d’un bloqueur d’écriture, soit boot sur liveCD à partir du PC sous scellé après vérification des options du BIOS (débrancher le disque pour faire les essais de boot)

– côté PC de travail (sous Windows XP SP2, exécution sous cygwin, sinon exécution directe sous Linux) de “nc -l -p 2000 > image.dsk”

– côté disque dur scellé, sous HELIX ou sous DEFT, lancement dans un shell de la commande “dd if=/dev/sda | nc IP_PC_de_travail 2000”

J’obtiens ainsi une image numérique du disque dur à analyser.

La commande “dd” peut être avantageusement remplacée par “dcfldd“, dc3dd ou en cas d’erreurs I/O sur le disque par “ddrescue[1].

L’adresse IP_PC_de_travail utilisée dans la commande “nc” (netcat) peut aussi avantageusement être remplacée par celle d’un serveur samba, ce qui permet ensuite d’accéder au fichier image.dsk indifféremment depuis une machine Linux ou Windows (dans mon cas un “vieux” PC avec cinq disques SATA de 400 Go:).

Mais maintenant, que faire de ce gros fichier image.dsk?

Personnellement, j’utilise deux outils:

sleut kit et autopsy pour l’analyse inforensique proprement dite.

liveview pour démarrer l’image sous vmware (s’il s’agit d’un scellé sous Windows)

C’est ce dernier logiciel qui gagne l’honneur de fournir le titre du présent billet (avec une traduction très approximative).

Je dois dire que depuis l’utilisation de liveview et vmware, ma vision des scellés a considérablement changée. En effet, je “sens” beaucoup mieux l’organisation du stockage sur un Pc lorsqu’il est possible de naviguer à loisir sur celui-ci: organisation des icones sur le bureau, logiciels spécifiques que l’on peut exécuter, etc. L’image d’origine est protégée en lecture seule, un disque virtuel vient la compléter pour stocker tous les changements effectués (en général, il faut réactiver Windows XP pour pouvoir travailler dans la durée). Il suffit d’ajouter un disque dur partagé pour pouvoir récupérer toutes les données non effacées intéressantes.

L’utilisation des Sleut kit et Autopsy dépasse le cadre technique de ce blog, mais je recommande à tous les curieux de s’y exercer… C’est très instructif!

——————–

[1] Dans le cas de problèmes I/O sur un disque dur, il me semble important d’effectuer la prise d’image rapidement et, pour ma part, de ne pas calculer le hash MD5 qui dans ce cas me semble soumis à des aléas.

Virtualisation réelle

Publié le par

Si j’aime tant le métier de responsable informatique, c’est simplement parce qu’il ressemble assez à celui d’un chercheur.

La preuve est qu’il est assez facile de paraphraser la définition donnée par wikipedia du métier de chercheur pour obtenir la définition de ce qu’est un informaticien:

Un informaticien (fem. informaticienne) désigne une personne dont le métier consiste à faire de l’informatique. Il est difficile de bien cerner le métier d’informaticien tant les domaines informatiques sont diversifiés et impliquent d’importantes différences dans la pratique de ce métier. Ainsi, pendant longtemps, informaticien n’était pas vu comme un métier, mais un simple qualificatif. Le Manuel de Zythom donne une définition de l’informaticien qui reflète la diversité des situations: «Spécialiste travaillant à la conception ou à la création de connaissances, de produits, de procédés, de méthodes et de systèmes nouveaux et à la gestion des projets concernés.»

Quels sont mes centres d’intérêt actuels? Et bien, après avoir mis en place un cluster dans ma salle serveur pour augmenter la puissance et la fiabilité du serveur de messagerie de l’établissement, je m’intéresse aujourd’hui aux systèmes de virtualisation (puisque la mode des clusters semble passée:).

Et puis, c’est un aspect intéressant pour les expertises. En effet, l’analyse de tels systèmes en informatique légale me semble poser quelques problèmes intéressants. Autant s’y préparer.

J’installe donc régulièrement, au travail comme dans mon laboratoire d’expertise, Xen, VirtualBox, Vmware et autre VirtualPC. Et c’est vrai que c’est amusant et impressionnant…

En fait, j’ai une petite déception. J’avais secrètement l’espoir de pouvoir installer un système de virtualisation sur mon ordinateur privé afin de pouvoir passer d’une simple combinaison de touches (Alt Tab par exemple) d’un OS à un autre, en gardant tous les pilotes optimisés (notamment 3D graphiques pour les jeux). Je dois avouer que je n’ai pas encore réussi ce challenge.

Par contre, en salle serveur, j’ai déjà obtenu quelques résultats me permettant d’isoler des programmes instables imposant le redémarrage du serveur relativement souvent. Au sein d’une machine virtuelle, il suffit de redémarrer uniquement la machine virtuelle pour ne pas perturber les autres services qui tournent sur la machine hôte. En fait, rien encore de bien révolutionnaire à mon niveau.

En discutant avec les RSI d’autres écoles d’ingénieurs, je me suis fait la réflexion suivante, adaptation personnelle d’une blague circulant régulièrement sur internet:

La virtualisation dans les salles serveurs, c’est comme le sexe chez les

adolescents :

* Tout le monde y pense.

* Tout le monde en parle.

* Tout le monde croit que le voisin le fait.

* Presque personne ne le fait.

* Ceux qui le font le font mal.

* Pensent que la prochaine fois ce sera mieux.

* Ne prennent pas de précautions.

* N’osent pas avouer leurs lacunes de peur de paraître niais.

* Sont fort bruyants quand ils y arrivent.

C’est tout à fait cela!

Vous pouvez adapter cette puissante réflexion à l’infini:

Les sauvegardes du poste de travail, c’est comme le sexe chez les adolescents…

La sécurisation wifi, le cryptage des emails confidentiels, la lutte contre l’effet de serre, le tri sélectif des déchets ménagers, le remplacement de sa voiture par un vélo, le jogging…

Les outils d’un expert judiciaire

Publié le par

J’inaugure avec ce billet une nouvelle rubrique qui sera consacrée aux outils que j’utilise (ou que j’aimerais utiliser) lors de mes expertises.

Outil n°1, loin devant tous les autres: Linux, ,ou plutôt, certaines distributions Linux, comme l’une de mes favorites: HELIX.
Il s’agit d’un live CD permettant entre autre chose la prise d’image d’un disque dur et son analyse en profondeur.

Voici son contenu actuel:

# sleuthkit : Brian Carrier’s replacement to TCT.
# autopsy : Web front-end to sleuthkit.
# mac-robber : TCT’s graverobber written in C.
# fenris : debugging, tracing, decompiling.
# wipe : Secure file deletion.
# MAC_Grab : e-fense MAC time utility.
# AIR : Steve Gibson Forensic Acquisition Utility.
# foremost : Carve files based on header and footer.
# fatback : Analyze and recover deleted FAT files.
# md5deep : Recursive md5sum with db lookups.
# sha15deep : Recursive sha1sum with db lookups.
# dcfldd : dd replacement from the DCFL.
# sdd : Specialized dd w/better preformance.
# PyFLAG : Forensic and Log Analysis GUI.
# Faust : Analyze elf binaries and bash scripts.
# e2recover : Recover deleted files in ext2 file systems.
# Pasco : Forensic tool for Internet Explorer Analysis.
# Galleta : Cookie analyzer for Internet Explorer.
# Rifiuti : “Recycle BIN” analyzer.
# Bmap : Detect & Recover data in used slackspace.
# Ftimes : A toolset for forensic data acquisition.
# chkrootkit : Look for rootkits.
# rkhunter : Rootkit hunter.
# ChaosReader : Trace tcpdump files and extract data.
# lshw : Hardware Lister.
# logsh : Log your terminal session (Borrowed from FIRE).
# ClamAV : ClamAV Anti Virus Scanner.
# F-Prot : F-Prot Anti Virus Scanner.
# 2 Hash : MD5 & SHA1 parallel hashing.
# glimpse : Indexing and query system.
# Outguess : Stego detection suite.
# Stegdetect : Stego detection suite.
# Regviewer : Windows Registry viewer.
# Chntpw : Change Windows passwords.
# Grepmail : Grep through mailboxes.
# logfinder : EFF logfinder utility.
# linen : EnCase Image Acquisition Tool.
# Retriever : Find pics/movies/docs/web-mail.
# Scalpel : Carve files based on header and footer.

Evidemment, j’invite tous les passionnés à tester ces outils et à les maitriser, ainsi que les professeurs (souvent passionnés également) à les utiliser pour leurs enseignements.

Je découvre à chaque fois de nouveaux outils dans cette distribution dont je n’utilise pour l’instant qu’un petit pourcentage.

Je parlerai de certains de ces outils plus en détails plus tard et dans cette rubrique.