Une violation de données se produit presque tous les jours.
Certaines des principales violations de données sont ;
- JP Morgan Chase
- Bank of America
- HSBC
- TD Bank
- Target
- Tumbler
- Home Depot
- MySpace
- eBay
- Adobe System Inc
- iMesh
.
Juniper Research suggère que la cybercriminalité coûtera plus de 5 000 milliards de dollars aux entreprises d’ici 2024. La demande d’experts en informatique légale va donc également augmenter.
Les outils sont le meilleur ami de l’administrateur ; utiliser le bon outil vous aide toujours à faire avancer les choses plus rapidement et à vous rendre productif. L’enquête médico-légale est toujours un défi, car vous pouvez recueillir toutes les informations que vous pourriez pour la preuve et le plan d’atténuation.
Voici quelques-uns des outils d’enquêteur informatique médico-légal dont vous auriez besoin. La plupart d’entre eux sont gratuits !
Autopsy
Autopsy est un programme d’investigation numérique open source basé sur une interface graphique pour analyser efficacement les disques durs et les smartphones. Autospy est utilisé par des milliers d’utilisateurs dans le monde entier pour enquêter sur ce qui s’est passé sur l’ordinateur.
Il est largement utilisé par les examinateurs d’entreprise, les militaires pour enquêter, et certaines des fonctionnalités sont.
- Analyse des courriels
- Détection du type de fichier
- Lecture des médias
- Analyse du registre
- Récupération des photos de la carte mémoire
- Extraction de la géolocalisation et de l’appareil photo. informations de l’appareil photo à partir de fichiers JPEG
- Extraction de l’activité web à partir d’un navigateur
- Affichage des événements du système dans une interface graphique
- Analyse de la chronologie
- Extraction de données à partir d’Android – SMS, journaux d’appels, contacts, etc.
Il dispose de rapports étendus à générer au format de fichier HTML, XLS.
Encrypted Disk Detector
Encrypted Disk Detector peut être utile pour vérifier les lecteurs physiques cryptés. Il prend en charge les volumes cryptés TrueCrypt, PGP, BitLocker, Safeboot.
Wireshark
Wireshark est un outil de capture et d’analyse de réseau pour voir ce qui se passe dans votre réseau. Wireshark sera pratique pour enquêter sur l’incident lié au réseau.
Magnet RAM Capture
Vous pouvez utiliser Magnet RAM capture pour capturer la mémoire physique d’un ordinateur et analyser les artefacts en mémoire.
Il prend en charge le système d’exploitation Windows.
Network Miner
Un analyseur judiciaire de réseau intéressant pour Windows, Linux & MAC OS X pour détecter le système d’exploitation, le nom d’hôte, les sessions et les ports ouverts par reniflage de paquets ou par fichier PCAP. Network Miner fournit des artefacts extraits dans une interface utilisateur intuitive.
NMAP
NMAP (Network Mapper) est l’un des réseaux les plus populaires et des outils d’audit de sécurité. NMAP est supporté par la plupart des systèmes d’exploitation, notamment Windows, Linux, Solaris, Mac OS, HP-UX, etc. Il est open-source donc gratuit.
RAM Capturer
RAM Capturer de Belkasoft est un outil gratuit pour décharger les données de la mémoire volatile d’un ordinateur. Il est compatible avec le système d’exploitation Windows. Les dumps de mémoire peuvent contenir le mot de passe du volume crypté et les identifiants de connexion pour les webmails et les services de réseaux sociaux.
Forensic Investigator
Si vous utilisez Splunk, alors Forensic Investigator sera un outil pratique. Il s’agit d’une application Splunk et possède de nombreux outils combinés.
- Recherche de WHOIS/GeoIP
- Ping
- Scanner de port
- Capture de bannière
- Décodeur/parseur d’URL
- Convertisseur XOR/HEX/Base64
- SMB. Share/NetBIOS viewer
- Virus Total lookup
FAW
FAW (Forensics Acquisition of Websites) consiste à acquérir des pages web pour une enquête médico-légale, qui présente les caractéristiques suivantes .
- Capture de la page entière ou partielle
- Capture de tous les types d’image
- Capture du code source HTML de la page web
- Intégration avec Wireshark
HashMyFiles
HashMyFiles vous aidera à calculer les hachages MD5 et SHA1. Il fonctionne sur presque tous les derniers OS Windows.
Crowd Response
Response de Crowd Strike est une application Windows pour recueillir des informations système pour la réponse aux incidents et les engagements de sécurité. Vous pouvez afficher les résultats en XML, CSV, TSV ou HTML avec l’aide de CRConvert. Il fonctionne sur 32 ou 64 bits de Windows XP supérieur.
Crowd Strike a quelques autres outils utiles pour l’investigation.
- Totrtilla – router anonymement le trafic TCP/IP et DNS à travers Tor.
- Shellshock Scanner – scanner votre réseau pour la vulnérabilité shellshock.
- Scanner Hearttbleed – analyse votre réseau pour la vulnérabilité OpenSSL heart bleed.
NFI Defraser
L’outil forensique Defraser peut vous aider à détecter les fichiers multimédia complets et partiels dans les flux de données.
ExifTool
ExifTool vous aide à lire, écrire et modifier les informations méta pour un certain nombre de types de fichiers. Il peut lire EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc.
Toolsley
Toolsley a obtenu plus de dix outils utiles pour l’investigation.
- Vérificateur de signature de fichier
- Identificateur de fichier
- Hash & Valider
- Inspecteur binaire
- Encoder du texte
- Générateur d’URI de données
- Générateur de mots de passe
.
SIFT
La station de travailSIFT (SANS investigative forensic toolkit) est librement disponible sous la forme Ubuntu 14.04. SIFT est une suite d’outils forensiques dont vous avez besoin et l’une des plateformes de réponse aux incidents open source les plus populaires.
Dumpzilla
Extraire toutes les informations passionnantes du navigateur Firefox, Iceweasel et Seamonkey pour les analyser avec Dumpzilla.
Historique du navigateur
Foxton dispose de deux outils passionnants gratuits.
- Capteur d’historique de navigateur – capture l’historique du navigateur web (chrome, firefox, IE & edge) sur le système d’exploitation Windows.
- Viseur d’historique de navigateur – extrait et analyse l’historique de l’activité internet de la plupart des navigateurs modernes. Les résultats sont affichés dans le graphique interactif et les données historiques peuvent être filtrées.
ForensicUserInfo
Extraire les informations suivantes avec ForensicUserInfo.
- RID
- LM/NT Hash
- Réinitialisation du mot de passe/date d’expiration du compte
- Comptage des connexions/date d’échec
- Groupes
- Chemin du profil
Black Track
Blacktrack est l’une des plateformes les plus populaires pour les tests de pénétration, mais elle a aussi des capacités médico-légales.
Paladin
La suite forensique PALADIN – la plus célèbre suite forensique Linux au monde est une distro Linux modifiée basée sur Ubuntu disponible en 32 et 64 bits.
Paladin possède plus de 100 outils répartis en 29 catégories, soit presque tout ce dont vous avez besoin pour enquêter sur un incident. Autospy est inclus dans la dernière version – Paladin 6.
Sleuth Kit
Le Sleuth Kit est une collection d’outils en ligne de commande pour enquêter et analyser le volume et les systèmes de fichiers pour trouver les preuves.
CAINE
CAINE (Computer Aided Investigate Environment) est une distro Linux qui offre la plateforme forensic complète qui a plus de 80 outils pour vous permettre d’analyser, d’enquêter et de créer un rapport exploitable.
Conclusion
J’espère que les outils ci-dessus vous aideront à gérer l’incident de cybersécurité plus efficacement et à rendre le processus d’enquête plus rapide. Si vous êtes nouveau dans le domaine de l’investigation médico-légale, alors vous voudrez peut-être consulter ce cours.
0 commentaire