Утечки данных происходят почти каждый день. Согласно индексу утечки данных, с 2013 года более 4,762,376,960 записей было утеряно или украдено.



Наиболее крупные утечки данных произошли в:

• JP Morgan Chase
• Bank of America
• HSBC
• TD Bank
• Target
• Tumbler
• Home Depot
• MySpace
• eBay
• Adobe System Inc
• iMesh

Juniper Research предполагает, что к 2019 году ущерб от киберпреступлений составит более 2 триллионов долларов. Поэтому спрос на криминалистический анализ будет продолжать расти.

Программные средства — лучшие друзья системного администратора, а использование подходящего инструмента поможет быстрее и продуктивнее работать.

Расследование инцидентов — задача не из простых, ведь нужно собрать как можно больше информации, чтобы заручиться доказательствами и разработать план ликвидации последствий. Ниже я опишу несколько полезных инструментов для расследования инцидентов. Большинство из них бесплатные!

Список инструментов:

1. Autopsy
2. Encrypted Disk Detector
3. Wireshark
4. Magnet RAM Capture
5. Network Miner
6. NMAP
7. RAM Capturer
8. Forensic Investigator
9. FAW
10. HashMyFiles
11. USB Write Blocker
12. Crowd Response
13. NFI Defraser
14. ExifTool
15. Toolsley
16. SIFT
17. Dumpzilla
18. Browser History
19. ForensicUserInfo
20. Back Track
21. Paladin
22. Sleuth Kit
23. CAINE

1. Autopsy
Autopsy — программа с открытым исходным кодом и графическим интерфейсом для эффективного криминалистического исследования жестких дисков и смартфонов. Тысячи людей пользуются Autopsy, чтобы разобраться в том, что же действительно случилось с компьютером.



Специалисты крупных компаний и военные широко применяют Autopsy в работе. Ниже некоторые из функций Autopsy:

• анализ электронных писем;
• определение типа файла;
• воспроизведение мультимедиа;
• анализ реестра;
• восстановление фотографий с карты памяти;
• извлечение информации о геолокации и фотоаппарате из JPEG-файлов;
• извлечение данных о сетевой активности из браузера;
• отображение системных событий в графическом интерфейсе;
• хронологический анализ;
• извлечение данных из устройств на Android: SMS, журнал звонков, контакты, и т.д.

С помощью инструмента можно генерировать отчеты в форматах HTML и XLS.

2. Encrypted Disk Detector
Encrypted Disk Detector может помочь провести анализ зашифрованных жестких дисков. Программа работает с разделами, зашифрованными при помощи TrueCrypt, PGP, Bitlocker, Safeboot.

3. Wireshark
Wireshark — это инструмент захвата и анализа сетевых пакетов, который поможет наблюдать за происходящим в вашей сети. Wireshark пригодится при расследовании сетевого инцидента.

4. Magnet RAM Capture
Magnet RAM capture позволяет получить снимок оперативной памяти и проанализировать артефакты в памяти. Программа работает с ОС Windows.

5. Network Miner
Этот интересный инструмент сетевого криминалистического анализа для Windows, Linux и MAC OS X позволяет определить операционную систему, имя хоста, обнаружить сессии и открытые порты с помощью анализатора трафика или PCAP-файла. Network Miner отображает извлеченные артефакты в интуитивно понятном интерфейсе.



6. NMAP
NMAP (Network Mapper) — это один из самых популярных инструментов для аудита сетевой и информационной безопасности. NMAP совместим с большинством операционных систем, в том числе Windows, Linux, Solaris, MAC OS, HP-UX и т.д. Программа с открытым исходным кодом, так что она бесплатна.

7. RAM Capturer
RAM Capturer by Belkasoft — это бесплатный инструмент для создания дампа данных энергозависимой памяти компьютера. Программа совместима с Windows. Дамп памяти может содержать находящиеся на зашифрованных томах пароли и данные для входа в электронную почту или социальные сети.

8. Forensic Investigator
Если вы используете Splunk, то Forensic Investigator вам пригодится. Это приложение для Splunk выполняет множество функций.

• запросы WHOIS/GeoIP;
• Ping;
• сканер портов;
• сборщик заголовков;
• анализатор/декодировщик URL;
• XOR/HEX/Base64 конвертер;
• просмотр SMB Share/NetBIOS;
• проверка Virus Total.

9. FAW
FAW (Forensics Acquisition of Websites) используется для сбора данных о веб-странице в целях дальнейшего исследования. В инструменте реализовано следующее:

• сохранение страницы частично или полностью;
• сохранение всех видов изображений;
• сохранение исходного HTML кода веб-страницы;
• работа с Wireshark.

10. HashMyFiles
HashMyFiles поможет вам вычислить хеши MD5 и SHA1. Инструмент работает почти на всех последних версиях Windows.



11. USB Write Blocker
Просмотрите содержимое USB-накопителя, не оставляя отпечатков, метаданных и меток времени. USB Write Blocker использует реестр Windows для защиты от записи на USB-устройства.



12. Crowd Response
Response от Crowd Strike — это приложение для Windows, предназначенное для сбора системной информации в целях реагирования на инцидент и повышения уровня безопасности. Результаты можно представить в форматах XML, CSV, TSV или HTML с помощью CRConvert. Программа работает на всех 32- и 64-разрядных версиях Windows начиная с XP.

У Crowd Strike есть и другие неплохие инструменты для проведения расследования:

• Tortilla позволяет анонимно маршрутизировать TCP/IP и DNS трафик через TOR;
• Shellshock Scanner – проверьте сеть на наличие shellshock уязвимостей;
• Heartbleed scanner – проверьте сеть на наличие heartbleed уязвимости в OpenSSL.

13. NFI Defraser
Defraser — это инструмент для исследований, который может вам помочь в обнаружении файлов мультимедиа или их фрагментов в информационном потоке.

14. ExifTool
С помощью ExifTool можно считывать, записывать и редактировать метаданные разных видов файлов, в том числе EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, и т.д.

15. Toolsley
Toolsley предлагает более десятка полезных инструментов расследования:

• верификация цифровой подписи файлов;
• идентификация формата файла;
• хеширование и проверка файлов;
• инспектор бинарных файлов;
• шифрование текста;
• генератор URI данных;
• генератор паролей.

16. SIFT
SIFT (SANS investigative forensic toolkit) — рабочая станция, свободно доступная для Ubuntu 14.04. SIFT — это набор полезных инструментов анализа и одна из наиболее популярных платформ реагирования на инциденты с открытым исходным кодом.



17. Dumpzilla
Извлекайте всю интересующую вас информацию из браузеров Firefox, Iceweasel и Seamonkey при помощи Dumpzilla.



18. Browser History
У Foxton есть два интересных инструмента:

1. Сохранение истории браузера (Chrome, Firefox, IE и Edge) для Windows;
2. Просмотр истории браузера. Можно извлечь и проанализировать историю действий в большинстве современных браузеров. Результаты отображаются на интерактивном графике, а данные за прошлые периоды можно отфильтровать.

19. ForensicUserInfo
Воспользовавшись ForensicUserInfo вы сможете извлечь следующую информацию:

• RID;
• LM/NT хеш;
• смена пароля, срок действия учетной записи;
• количество входов в системы, даты неудачных попыток;
• группы;
• путь к профилю.

20. Back Track
Backtrack — это одна из самых популярных платформ для проверки уязвимости, но в ней реализованы и функции криминалистического анализа.

21. Paladin
PALADIN Forensic Suite — самый популярный набор криминалистических инструментов для Linux в мире, представляющий собой модифицированный дистрибутив Linux, основанный на Ubuntu и доступный в 32- и 64-разрядной версиях.



В Paladin входит более 100 инструментов, которые сгруппированы в 29 категорий. Это почти все, что вам нужно, чтобы расследовать инцидент. Autospy входит в последнюю версию — Paladin 6.

22. Sleuth Kit
The Sleuth Kit — это набор инструментов командной строки, предназначенных для изучения и анализа логических дисков и файловых систем, чтобы найти данных.

23. CAINE
CAINE (Computer Aided Investigate Environment) — это дистрибутив Linux, который предлагает полноценную экспертную платформу с более чем 80 инструментами для анализа, исследования и формирования отчетов о действиях.



Надеюсь, что вышеуказанные инструменты помогут вам справиться с инцидентом и ускорить расследование.

По традиции приглашаю всех интересующихся заглянуть в наше HOSTING.cafe и выбрать себе виртуальный сервер или виртуальный хостинг. Отзывы о хостерах собраны на POISK.hosting.