Krypto

Den fattige forensikern

Publicerat: 
2016-01-08 14:11

Forensik i alla dess former börjar bli allt mer vanligt förekommande.
Problemet är att det ofta är dyrt med både den mjukvara och hårdvara som behövs för att genomföra en forensisk undersökning.
I den här artikeln undersöker vi vad vi kan åstadkomma med en begränsad budget och när vi enbart använder oss av freeware.
 

Scenario:
Här kommer vi titta närmare på ett scenario där vi har en suspekt dator varifrån vi tror att företagshemligheter har spridits.
Vi har tagit reda på följande information om datorn:
⦁    Kör Windows 7 home edition
⦁    Kontot som informationen stulits ifrån är lösenordskyddad
⦁    Datorn är påslagen och användaren har tidigare loggat in och därefter låst kontot
⦁    Har en firewire-port

Till att börja med måste vi först logga in och hämta ut så mycket som möjligt av den volatila informationen, lagrad i datorns RAM-minne, innan vi undersöker hårddisken.  Lyckligtvis vet vi att datorn har en firewire-port samt att operativsystemet är Windows 7. Detta innebär att vi kan använda en side-channel attack (även kallad Firewire-attack) för att på sådant sätt ändra några värden i RAM-minnet och ta oss förbi hela inloggnings-processen. Vi använder oss här av en firewire till firewire sladd (kostnad: ca 60 kr på Webbhallen) för att koppla vår angreppsdator till måldatorn. Därefter kör vi programvaran Inception på vår angreppsdator som används för olika typer av side-channel angrepp som vi nu använder för att ändra parametrarna i RAM-minnet för att ta oss förbi inloggningsprocessen:

Efter att värderna ändrats kan du använda valfritt lösenord för att logga in

Väl inne på systemet monterar vi en USB-sticka som vi tidigare har förberett med verktyg som vi kan använda för att utvinna volatil information.
Vi kör alla kommandon från den kommandotolk som ligger på USB-minnet för att förminska kontaminering och undvika fällor som användaren kan ha lagt. Först upp kör vi netstat som är ett inbyggt program i Windows som listar alla öppna portar på datorn. Vi tar också en lista över körande processer med kommandot tasklist och hämtar nuvarande internet-inställningar med kommandot ipconfig.
När vi har hämtat ut den grundläggande informationen så är det dags att samla in lösenord.
Här kör vi programvaran Mimikatz som kan utvinna lösenord och annan känslig information från RAM-minnet.
 

I Mimikatz logfil ser vi lösenordet för användaren i klartext.

Nu har vi hämtat ut all volatil information vi behöver och även lösenord.
Lämpligtvis bör man som en forensisk utredare även ta en kopia av det volatila minnet på det undersökta systemet. Detta kan göras med hjälp av FTK Imager, men i detta fall anser utredaren att det är slöseri med tid och fortsätter utan att ta en avbild.
Vi kan nu stänga av datorn och gå vidare med att utvinna informationen ur hårddisken.

Vi monterar hårddisken på vår undersökningsdator med hjälp av en SATA till USB konverterare(kostnad: ca 190 kr på Webbhallen alternativt 50 dollar för en med writeblocker på Amazon) och kör därefter FTK imager för att ta en avbild på hårddisken.  Vi har nu en avbild på hårddisken som vi kör alla operationer mot. Nästa steg är att manuellt undersöka hårddisken efter ledtrådar som kan hjälpa oss i vår utredning.

Efter flera timmar intensivt letande hittar vi tillslut en ledtråd som kan hjälpa oss med vår utredning.

ZIP-filen är krypterad. Lyckligtvis glömmer vi inte bort att användare gillar att återanvända lösenord. Vi prövar några olika varianter av lösenordet med gemener och versaler på olika platser i lösenordet och med specialtecken och siffror och till slut lyckas vi dekryptera filen.
Det bör även noteras att denna process kan automatiseras genom att använda Jumbo patchen för John the ripper som inkluderar  zip2john, vilket är ett verktyg för att knäcka lösenord till zip-filer.

Bingo! Vi har nu bevis på att den misstänkta samlat hemlig information i en behållare, vilket är högst misstänksamt! Nästa steg är att ta reda på om filerna har skickats vidare till en annan part. Under den manuella undersökningen observerades en installation av Mozilla Thunderbird e-postklient. Med lite tur så är e-postklienten inställd på att spara meddelanden lokalt på hårddisken. För att undersöka detta använder vi programmet Mailviewer och navigerar därefter till Thunderbirds standardmapp för att spara e-postmeddelanden, vilket oftast är under C:\Users\"användarnamn"\AppData\Thunderbird på en Windows-installation.

Här hittar vi ett utgående mail som ger starka indikationer på att vår misstänkte har skickat de superhemliga filerna till en annan person. Utredaren anser nu att vi har tillräckligt med bevis för att påvisa ett brott och kan därmed börja skriva ihop vår rapport

Slutsats
Som slutsats kan vi konstatera att en forensisk undersökning med enbart freeware är fullt möjlig.
Det blir en del mer manuellt arbete och vi behöver använda en stor upplaga av olika verktyg för att täcka olika aspekter, vilket även sammanfaller med fördelen för kommersiella verktyg.
I exempelvis Encase eller FTK analyser så har vi alla verktyg på samma plats, de är mer lättanvända och tack vare indexeringsfunktioner blir större utredningar snabbare. Dock ska man inte utesluta freeware helt från en utredning bara för att man råkar sitta på en Encase/FTK-licens. Många av de program som nämndes ovan är anpassade för specialområden och har därmed ibland funktioner som försvinner i de större verktygslådorna.

Hårdvara
Firewire till firewire-sladd :
Webhallen
SATA till USB adapter:  Webhallen
SATA till USB adapter med writeblocker: Amazon

 

 

Skribent(er): 
Peter Hildeblom

IT-säkerhet, kryptoanalys och geocaching - finns det något vi kan lära oss?

Publicerat: 
2015-10-27 08:50

De flesta av oss förknippar nog geocaching med folk som letar små plastburkar som sitter gömda på knepiga ställen, men vilka beröringspunkter finns det med IT-säkerhet och kryptoanalys?

Det finns en speciell typ av cacher som kallas mystar där det gäller att få fram koordinaterna utifrån en information som kan finnas som ett dolt meddelande, en kort kryptotext eller någon annan form som man först måste identifiera. För oss som arbetar med datorer, IT-säkerhet och kryptorelaterade problemställningar till vardags så kan det vara roligt att lösa geocacher som har dessa teman och som ofta förefaller vara konstruerade av personer med en likartad bakgrund som vår egen.

Om man tycker om att problem med en militär anknytning så finns det en serie geocacher med anknytning till Totalförsvarets signalskyddsskola som är lagom svåra och ger en trevlig introduktion till ämnet kryptoanalys. Likaså finns det ett flertal geocacher med anknytning till datorrelaterade problem eller IT-relaterade brottsutredningar där ledtrådar kan ha lämnats i form av olika datorfiler. Inom Mellansverige går det ganska lätt att hitta ett stort antal roliga geocacher med varierande svårighetsgrad.

Bilden ovan visar en myst med anknytning till Enigma som är utplacerad på FRA ute på Lovön. I verkligheten ligger inte cachen på parkeringsplatsen utan kanske någon kilometer bort. I det här fallet har jag sökt alla cacher där beskrivningen innehåller ordet krypto, totalt fanns 75 sådana cacher i min databas.

Men kan vi som arbetar med säkerhet lära oss något av geocaching? Min erfarenhet är att det är lärorikt att lösa problem och man håller uppe sin egen förmåga att analysera ett nytt problem. Det är också en stor skillnad att lösa ett läroboksproblem, ett problem man själv konstruerat och ett problem som en för mig okänd person har konstruerat. Ibland får man en ledtråd, för ett hemligt meddelande kan det exempelvis vara typ av krypto eller vilket språk som texten är skriven på. Men lika ofta är problemen valda för att inte vara typiska läroboksfrågor, språket är varken engelska eller svenska utan något blandspråk och vissa ord kan vara lite speciella. Normalt skulle vi kalla detta för en obfuskering av ett meddelande som kan vara mer eller mindre svår att genomskåda. För vissa problem ska man analysera en webbsida, läsa källkoden och på egen hand göra ett anrop till en server för att kunna lösa nästa steg i problemet. För att lösa andra mystar har det krävts nerladdning av simuleringsprogram för IC kretsar, plottpogramvaror, hexeditorer för att klippa och klistra i datafiler och andra verktyg för att hitta dolda meddelanden i bilder.

Ofta finns det bra programvaror för att undersöka krypterade texter, men de faller ofta när texten är på svenska eller använder olika metoder att översätta svenska tecken. Man tvingas då ofta skriva egna program för att lösa exempelvis ett Vigenerekrypto med svensk text där kanske både o och ö blivit ett o innan texten krypterats. Ofta får man arbeta fram dellösningar, exempelvis en metod för att få fram nyckellängden och en annan metod för att söka fram frekvensriktig lösning. Precis som i riktig kryptoanalys kan man också försöka gissa ord som borde ingå i klartexten.

CryptoCrack används för att lösa krypton.

Bilden visar ett enkelt test där vi laddat ett Vigenere krypto med en svensk text i CryptoCrack. Denna produkt är visserligen dålig på att lösa krypton (i vart fall på andra alfabet än det engelska), men innehåller ett antal verktyg för att exempelvis hitta upprepningar i kryptotexten som kan hjälpa till att förutsäga nyckellängden. Man kan också prova nycklar för hand.

Bra saker att tänka på är att inte överskatta sina egna kunskaper eller tro att de direkt går att översätta till geocaching. Det är ofta dumt att börja med kryptorelaterade mystar innan man löst enklare problem och lärt sig förstå GPS koordinatsystem och hur antalet siffror som används kan variera med olika representationer, antingen 14, 15 eller 16 siffror i de vanligaste varianterna. Man behöver helt enkelt få ordning på sammanhanget innan man kan lösa kryptoanalysen. Innan man ger sig på en myst så kan man titta på gamla loggar för att försäkra sig om att problemet är lösbart och om andra personer uppskattat problemet.

Den andra delen som kan behöva utvecklas innan man kan ge sig ut och hitta geocacherna är att klara olika svårighetsgrader i terräng. Även om man löst en svår myst och glatt kommer ut i skogen med de rätta koordinaterna så kanske man finner att den fysiska burken sitter några meter för högt upp i ranglig grantopp. Även här kan säkerhetstänkandet hjälpa till med en ordentlig risk och konsekvensanalys. Det är ofta bättre att återkomma med stege, hjälm och klätterutrustning eller en vältränad kamrat än att ta en dålig chanstagning.

Skribent(er): 
Tomas Forsberg
Taggar: