Page 1
25/08/2016
1
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Hacking & Sécurité, Expert :Module :
Les sciences forensiques:L’investigation numérique
Page 2
25/08/2016
2
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
Page 3
25/08/2016
3
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Présentation du formateurKondah Hamza• [email protected]
• Consultant & Chercheur en Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
� Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
� Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
� Mon Site Web : http://www.kondah.com
� Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
Page 4
25/08/2016
4
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mes formations sur Alphorm
Page 5
25/08/2016
5
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilité
réseaux
Page 6
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques d'investigation
• Rapports d'investigation
• Conclusion
Page 7
25/08/2016
7
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
Page 8
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
Page 9
25/08/2016
9
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Connaissances requises
• Culture IT
• Avoir suivi les deux premiers niveaux
• Conseillés : Avoir suivi tous les niveaux expert
Page 10
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
Page 11
25/08/2016
11
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Let’s Rock ? ☺
Page 12
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation de la formation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 13
25/08/2016
13
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Définition du forensique
•Statistiques
•Aspects de la sécurité organisationnelle
Page 14
25/08/2016
14
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Définition du forensique• Le forensique consiste à appliquer la science (dans ce cas, des
techniques informatisés) pour des fins de recherches légales suite à un incident ou crime.
• Méthodologie de techniques et procédures pour la récupération de preuves
• Investigation
• Preuves légalement valides
• Orientation Ethique
• Techniques utilisées par les Hackers
Page 15
25/08/2016
15
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Statistiques
Page 16
25/08/2016
16
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Aspects de la sécurité organisationnelleSécurité IT
• Application, Antivirus, Réseaux …
Sécurité Physique
• Personnes physique, Sécurité biométrique …
Sécurité Financière
• Fraude, Botnets, Phishing
Sécurité Légale
• Sécurité nationale, Copyright …
Page 17
25/08/2016
17
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mise en situation par rapport au forensique
•Définitions
•Vue globale
•Maintenant passons aux détails ☺
Page 18
25/08/2016
18
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensique des temps modernes
Introduction à la formation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 19
25/08/2016
19
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Historique
• Objectifs du forensique
• Pourquoi on a besoin du forensique?
• Cyber crime
• Types de cyber crime
Page 20
25/08/2016
20
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Une évolution rapide
• Une nécessité par rapport à l’afflue des cyber crimes
• Techniques utilisées par les hackers
• Centre SOC
• Analyse temps réel
• Menaces inconnues � Le forensique devient dès lors une nécessité au sein des grandes structures
Page 21
25/08/2016
21
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Historique
1984
• Computer Analysis and Response Team (CART)
• Assistance FBI
1993 • Première conférence sur les preuves informatiques
1995• International Organization on Computer Evidence (IOCE)
1998• International Forensic Science Symposium (IFSS)
2000• FBI Regional Computer Forensic Laboratory (RCFL)
Page 22
25/08/2016
22
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs du forensique
• Récupération et analyse
• Preuve
• Identification de la source
• Limiter l’impact surtout dans le cas d’une menace inconnue
Page 23
25/08/2016
23
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi on a besoin du forensique ?
Protéger une organisation
Tracking
Disposition de preuves
Préserver
l’intégrité
Préserver le bon
fonctionnement du SI
Arrêter une attaque
silencieuse
Page 24
25/08/2016
24
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Cyber crime• Terme désigné pour définir une activité criminelle où les ordinateurs et
les réseaux sont utilisés comme des outils pour cette dernière
• Crime où la machine contient les preuves nécessaires
• Ceci n’est pas une liste exhaustive
• accidentel et non accidentel
• Challenges � Rapidité + Anonymat + Nature de la preuve
• La menace peut être interne comme externe
Page 25
25/08/2016
25
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de cyber crime• Cyber Stalking
• Phishing
• Spoofing
• Fraude
• Email Bombing
• Malwares � Meilleur exemple : Cryptolocker
• DoS
Page 26
25/08/2016
26
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Evolution des temps modernes
•Cyber crime
•Pourquoi on a besoin du forensique?
•Compréhension
•Orientation
Page 27
25/08/2016
27
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction au chapitre sur les sciences forensiques
Les sciences Forensiques
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 28
25/08/2016
28
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Recherches
Page 29
25/08/2016
29
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• En vue de l’évolution continue des techniques de cyber attaques, les
sciences forensiques sont devenues une obligation
• Aussi bien pour des institutions judiciaires que pour les centres SOC en passant par les entreprises qui ont une activité orientée digitale
• Etude de cas : Fraude
• Institution étatique : A ne pas discuter ☺
• Analyse de malware
• La bulle smartphone
Page 30
25/08/2016
30
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Recherches
Page 31
25/08/2016
31
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction au chapitre sur les sciences forensiques
Page 32
25/08/2016
32
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus de forensique
Les sciences Forensiques
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 33
25/08/2016
33
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Introduction
• Investigation de crime informatique
• Avant l’investigation
• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Méthodologie d’investigation
Page 34
25/08/2016
34
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Approche méthodologique
• Il faut obligatoirement structurer son approche
• Le processus de forensique qu’on va découvrir est une vue globale et générale et peut être customisé selon votre situation, approche et besoin.
Page 35
25/08/2016
35
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation de crime informatique
Déterminer si un
incident a eu lieu
Trouver et interpréter
les évidences
Conduire une
recherche de preuves
Recherche et analyse
de l’équipement
Collecte des preuves
Page 36
25/08/2016
36
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avant l’investigation• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Définir la méthodologie
Page 37
25/08/2016
37
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire un lab• Définition des besoins
• Benchmarking
• Doit comporter quelques points importants :
� Duplication des disques
� Analyse des fichiers
� Support USB
� Isolation
Page 38
25/08/2016
38
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structurer son équipe• L’équipe doit contenir le moins de personnes possibles
• Définir la personne responsable de la réactivité face à un incident
• Suivis ( SCRUM )
• Définir les responsabilités et partenariat externe (Expert, Fiduciaire, Analyse d’incident, Chef d’équipe)
• Définir le « Lead »
Page 39
25/08/2016
39
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Revoir les lois• Comprendre les lois en vigueur
• Lois concernées : CCPA,CCPA,PATRIOT ACT …
• Meilleures pratiques
• Confidentialité
Page 40
25/08/2016
40
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse du risque• Identification de l’incident et de la cause
• Classifier le risque
• Déterminer les dégâts � Dans ce cas, on peut définir des plans de recovery pour d’éventuels nouveaux dégâts
• Déterminer la surface affectée
• Arrêter la communication selon la surface affectée
Page 41
25/08/2016
41
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire sa boite à outils
Page 42
25/08/2016
42
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie d’investigation
Page 43
25/08/2016
43
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Processus d’investigation
• Etapes élémentaires
• Customisation
• Récursivité
• Bien penser sa stratégie (aussi bien structurer le personnel, moyenne ou grande)
Page 44
25/08/2016
44
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Preuve Digitale
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
Page 45
25/08/2016
45
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Obstacles
• Pourquoi ce besoin ?
• Caractéristiques
• Approche Anti-Digital Forensics (ADF)
• Lab : Disposition ADF
Page 46
25/08/2016
46
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Preuve digitale dites vous ?
• Qu’elles sont ces types de données ?
• N’importe qu’elle information avec une valeur approbative
• Extraction d’informations, duplication de données etc …
� Enregistrement
� Logs
� Emails
� Word et compagnie
Page 47
25/08/2016
47
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Obstacles
• Preuves non formalisées
• Données altérées
• Ambiguïté
• Tout est relatif !
Page 48
25/08/2016
48
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi ce besoin ?
• Etablir des liens
• Principe de Locards «Anyone or Anything,entering a crime scene takes something of the scene with them ,and leavessomething of themeselves behind when they leave »
• Un exemple me dites vous ?
Page 49
25/08/2016
49
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristiques
• Admissible
• Authentique
• Complète
• Compréhensible
• Pas de doute !
• Différentiation des types : Volatile, Non volatile, Transitoire,Fragile
• Pensez processus d’examination de preuves
Page 50
25/08/2016
50
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Approche Anti-Digital Forensics (ADF)• Approche pour manipuler et exploiter les données
• Rend l’analyse forensique difficile , longue et quasi impossible
• Pourquoi une approche pareille ?
• Un hacker peut aussi bien exploiter une analyse contre vous ☺
• Comme quoi on joue sur les deux flans ☺Wiping
Exploitation Bugs
ObfuscationCacher les données
Page 51
25/08/2016
51
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Disposition ADF
Page 52
25/08/2016
52
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Preuve digitale
•Caractéristiques
•Approche ADF
Page 53
25/08/2016
53
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Procédure “First Responder”
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
Page 54
25/08/2016
54
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Rôles du First Responder
•La volatilité … Pourquoi ?
•Mise en Situation
Page 55
25/08/2016
55
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Qu’est ce qu’un « First Responder »
• Le premier arrivé sur la scène du crime � Le système
• Administrateur réseau ou responsable de la sécurité du SI …
• Ensemble de responsabilités
• Rôle primordial
• C’est aussi un ensemble d’outils
• Pourquoi ?
� Une meilleure compréhension + Bonne Analyse + Output
Page 56
25/08/2016
56
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Rôles du First Responder
Identifier les faits
Protéger le système
(Isolation)
Préserver les preuves ( Les
Logs par exemples)
Collection des différentes
informations
* Smartphones
* Cartes
* USB
* Ordinateurs
* Disques durs
Etiqueter les différents éléments
(Checklist , Permissions
etc…
)
Possibilité de déplacer les différents éléments
Page 57
25/08/2016
57
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La volatilité … Pourquoi ?
Registres, Cache
Table de Routage, Kernel,
Mémoire
Fichiers temporaire
s
Disques Durs
Monitoring
Configuration
physique et réseau
Archive Media
Page 58
25/08/2016
58
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mise en Situation• Si l’ordinateur est allumé :
� Enregistrer les programmes en cours
� Photographier la scène
� Ne rien toucher !
• Si l’ordinateur est éteint :
� Surtout pas l’allumer �
• Cas Réseau :
� Enlever le câble réseau du routeur/switch� Identifier les machines connectées « Directement » � Enlever les différents câbles
Page 59
25/08/2016
59
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Procédure First Responder
•Etape Cruciale
• Je souligne procédure !
Page 60
25/08/2016
60
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Préparation du Lab
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
Page 61
25/08/2016
61
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Comment planifier la mise en place de son Lab ?
• Types d’investigations
• Choix Hardware
• Choix Software
• Architecture
• Lab : Mise en Place du Lab
Page 62
25/08/2016
62
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Votre lab est votre ami !
• Il faut bien penser sa stratégie par rapport à l’instauration de votre lab
• Le budget est aussi un point primordial dans votre stratégie et « selon vos besoins » � Il existe plusieurs moyens vous permettant d’automatiser � Parfois la faciliter
• Si vous êtes professionnel � Pensez sécurité physique de votre lab
Page 63
25/08/2016
63
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Comment planifier la mise en place de son Lab ?
• Il faut se poser les bonnes questions
• Qu’elle types d’investigations vont être conduites ?
• Les workstations à utiliser
• Mesure contre coupure de courant
• Documentation
• Stockage sécurisé
• La nature du lab
Page 64
25/08/2016
64
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types d’investigations
• Vol d’identité
• Intrusion dans un réseau/système
• Fraude en ligne
• Fraude : Carte bancaire
• En gros, tous les secteurs sont touchés
Page 65
25/08/2016
65
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Hardware
Page 66
25/08/2016
66
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Software
• Identifier les besoins
• Analyse d’images
• Logiciel d’analyse de fichiers et de documents
• Logiciel de monitoring
• Analyse de la mémoire
• Logiciel de conversion
• Utilitaires de Sécurité
Page 67
25/08/2016
67
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
Page 68
25/08/2016
68
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Mise en Place du Lab
Page 69
25/08/2016
69
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension de l’importance du lab
•Structuration des objectifs
•Mise en place des éléments de base de notre lab
Page 70
25/08/2016
70
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition des données
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
Page 71
25/08/2016
71
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Format d’acquisition
• Pourquoi créer une image?
• Méthodes d’acquisition
• Données volatiles
Page 72
25/08/2016
72
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’acquisition des données est le processus de récupération d’images
• Obtention des informations d’un équipement digital
• Il existe deux types d’acquisitions :
1. Statique
2. Temps réel
• Sécurisation et collecte d’information !
� Ne jamais oublier les procédures forensiques
� Combinaison d’outils � Réseau, Périphériques, Boards
Page 73
25/08/2016
73
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Format d’ acquisition
• Il existe trois formats d’acquisitions :
1. RAW
2. Propriétaire
3. AFF : Advanced Forensics Format
Page 74
25/08/2016
74
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi créer une image ?
• La scène du crime doit être protégée
• Préserver les preuves originales
• Altération
• Perte
• Pas de one shot
Page 75
25/08/2016
75
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition
• Bit-Stream � Image
• Bit-Stream � Disque
• Acquisition logique
• Quoi choisir ? Selon vos besoins ☺ � Et votre budget surtout
Page 76
25/08/2016
76
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données volatiles
• L’acquisition de données volatile est extrêmement importante
• Données hors prix
• Processus
• Mots de passes
• Ims
• Trojans
Page 77
25/08/2016
77
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Acquisition de données
• Prochaine étape ?
Page 78
25/08/2016
78
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation légale sous Windows
Investigation légale sous Windows
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 79
25/08/2016
79
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l’investigation légale sous Windows
Page 80
25/08/2016
80
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’investigation sous Windows est l’un des points les plus nécessaires
• Une bonne compréhension des systèmes de fichiers est nécessaire
• Windows reste l’OS le plus accessible et donc le plus utilisé dans le marché
• Lors de ce chapitre on va essayer d’approfondir nos connaissances pour l’analyse d’images acquises lors du chapitre précédents.
• De l’analyse mais aussi de l’attaque !
• Extraction de données massives ☺
Page 81
25/08/2016
81
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l'investigation légale sous Windows
Page 82
25/08/2016
82
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 83
25/08/2016
83
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• NTFS
• Avantages NTFS
• Lab : Systèmes de fichiers
Page 84
25/08/2016
84
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FAT : File Allocation Table
� FAT12
� FAT16
� FAT 32
• Depuis le DOS
• Table d’allocations
• Standard � simple et robuste
Page 85
25/08/2016
85
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
NTFS• NTFS est le système de fichiers standard de Windows NT, y compris ses
versions ultérieures de Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 et Windows 8 et 10.
• Le NTFS est destiné à être utilisé sur des lecteurs avec le système Windows (disques durs et SSD).
• NTFS dispose de plusieurs améliorations par rapport au FAT, telles que l'amélioration du support des métadonnées et l'utilisation de structures de données avancées pour améliorer la performance, la fiabilité et de l'utilisation de l'espace disque, ainsi que d'autres extensions telles que la sécurité des listes de contrôle d'accès et de système de fichiers journalisé.
Page 86
25/08/2016
86
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avantages NTFS
• Compression• Cryptage• Autorisations d'accès et niveaux de permissions aux répertoires et aux
fichiers• Gestion de quotas de disque• Points de montage• Stockage étendu (partitions de plus de 2 TO). • Fichier de grande taille ( jusqu'à la taille de la partition entière au lieu
d'un maximum de 4 GO en FAT32)• Sécurité• Fiabilité• Performances
Page 87
25/08/2016
87
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab:Systèmes de fichiers
Page 88
25/08/2016
88
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Systèmes de fichiers
•NTFS
•Windows
Page 89
25/08/2016
89
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Investigation légale sous Windows
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 90
25/08/2016
90
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Création d’une image
Page 91
25/08/2016
91
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La création d’image est une des étapes les plus cruciales
• Utilisation d’outils professionnels ou bien d’applications dédié
• Mémoire ou bien disque
• Copie dans un disque dur en mode read only
• Disque dur Backup
Page 92
25/08/2016
92
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d’une image
Page 93
25/08/2016
93
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Création d’une image sous windows
Page 94
25/08/2016
94
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Collecte d'information volatile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 95
25/08/2016
95
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Collecte d’information volatile
Page 96
25/08/2016
96
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La collecte d’informations volatiles est un des points les plus importants
du processus de forensique
• Les informations volatiles sont souvent ceux qui ont le plus de valeurs
• Exemple d’informations :
� Interfaces réseaux
� Services
� Processus
� Presse papier
� …
Page 97
25/08/2016
97
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Collecte d’information volatile
Page 98
25/08/2016
98
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Collecte d’information volatile
•Outils
•Que faire ? Astuce : Netcat
Page 99
25/08/2016
99
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de la mémoire
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 100
25/08/2016
100
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Structure
• Volatility Framework
• Lab : Analyse de la mémoire
Page 101
25/08/2016
101
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le dump de la mémoire contient des informations capables de retracer la véritable cause d’une panne ou les traces d’un hacker etc…
• Cela permet aussi de récupérer les différentes informations cités dans les vidéos précédentes : Réseau, Logs …
• L’analyse de la mémoire qu’on va découvrir se base sur l’exploitation d’une image acquise via les méthodes citées dans la vidéos précédente
•
Page 102
25/08/2016
102
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure
Page 103
25/08/2016
103
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Volatility Framework• Collection d’outils
• Python
• Extraction de la mémoire
• Dump de la RAM
• Plateforme recherche forensique
• Puissant, précis et rapide
Page 104
25/08/2016
104
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes d’exploitations supportés
Page 105
25/08/2016
105
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
Page 106
25/08/2016
106
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse
•Structuration
•Attaque ☺
Page 107
25/08/2016
107
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse des registres
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 108
25/08/2016
108
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse des registres
Page 109
25/08/2016
109
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Un administrateur peut interagir avec les registres à travers des
programmes intermédiaires
• Interface GUI : Regedit.exe
• 7 pincipaux dossiers
Page 110
25/08/2016
110
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse des registres
Page 111
25/08/2016
111
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Importance des registres
•Navigation
•Exploitation
Page 112
25/08/2016
112
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Navigateurs : La mine d'or
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 113
25/08/2016
113
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Navigateurs : La mine d'or
Page 114
25/08/2016
114
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Les navigateurs peuvent contenir toutes les informations nécessaires
pour retracer l’activité d’un hacker, victime, ou autre
• Les fichiers parlent tous seuls ☺
• Possibilité d’utilisation d’outils automatisés
• Pour les fans de Meterpreter � Modules intégrés
Page 115
25/08/2016
115
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique navigateurs
Page 116
25/08/2016
116
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Navigateurs : La mine d'or
•Techniques forensiques navigateurs
Page 117
25/08/2016
117
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hash
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 118
25/08/2016
118
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Hash
Page 119
25/08/2016
119
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L'algorithme MD5, pour Message Digest 5, est une fonction de hachage
cryptographique
• Permet d'obtenir l'empreinte numérique d'un fichier.
• L'utilisation de cette fonction de hachage dans les signatures numériques peut conduire à de multiples scénarios d'attaque et n'est plus considérée comme un composant fiable de l'infrastructure à clés publiques.
• Le calcul de la « signature » d'un fichier reste plutôt fiable, même si l'on ne peut pas assurer qu'il y a une unicité entre l'empreinte calculée et le fichier ou message source
Page 120
25/08/2016
120
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Hash
Page 121
25/08/2016
121
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Notion de hash
• Importance Hash
•Calcul Hash
Page 122
25/08/2016
122
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Métadonnées
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 123
25/08/2016
123
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Types de Métadonnées
• Lab : Métadonnées
Page 124
25/08/2016
124
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le mot signifie proprement « donnée de/à propos de donnée »)
• Une donnée servant à définir ou décrire une autre donnée quelle que soit son support
• Exemple : Nom d’auteur, nom du réseau, Objets OLE…
• Importance :
� Informations cachées à propos du document
� Qui tente de supprimer, cacher ou altérer les données
� Corrélation
Page 125
25/08/2016
125
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de Métadonnées
• Il existe trois types de métadonnées :
� Métadonnées Descriptives
� Métadonnées Structurelles
� Métadonnées Administratives
Page 126
25/08/2016
126
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Page 127
25/08/2016
127
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Métadonnées
Page 128
25/08/2016
128
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Définition
• Importance
•Pratique ☺
Page 129
25/08/2016
129
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Logs
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 130
25/08/2016
130
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Ce qu’on va découvrir?
• Lab : Logs
Page 131
25/08/2016
131
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Les journaux contiennent une variété d’informations journalières
• Quelques informations sont automatiquement récoltées
• Evènements
• Important
• Accès simple
Page 132
25/08/2016
132
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Structure de données des logs
• Analyse des logs
• Firewall
• Système
• Protocoles (FTP,HTTP …)
Page 133
25/08/2016
133
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Logs
Page 134
25/08/2016
134
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Utilité des Logs
•Exploitation des logs pour des fins forensiques
Page 135
25/08/2016
135
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots de passe
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
Page 136
25/08/2016
136
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Bypasser les mots de passe
Page 137
25/08/2016
137
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Une fois l’ordinateur récupéré, On peut avoir un obstacle assez sérieux
• Le mot de passe de la session !
• Les criminels (Hackers ou autres) oublient soudainement les mots de passe ☺
• Malheureusement pour eux, tout a une solution
• Utilisation d’outils et d’exploits ☺
• Le Forensique ce n’est pas que de la défense et Analyse ;)
Page 138
25/08/2016
138
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Formation Hacking et Sécurité : Avancé
Page 139
25/08/2016
139
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passe
Page 140
25/08/2016
140
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Exploits et outils de Bruteforcing
Page 141
25/08/2016
141
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation légale sous Linux
Investigation légale sous Linux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 142
25/08/2016
142
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l'investigation légale sous Linux
•Ce qu’on va découvrir
Page 143
25/08/2016
143
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Ne jamais oublier les phases :
1. Préservation
2. Analyse
3. Reconstitution
• Le forensique sous linux est tout aussi important que sous Windows
• Plusieurs systèmes critiques tournent sous Linux
• Plusieurs incidents aussi …
Page 144
25/08/2016
144
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Analyse des besoins
• Acquisition de données
• Récupération et analyse de logs
• Analyse de mémoire
• Bypasser les mots de passe
• LiME
• Et d’autres surprises … =)
Page 145
25/08/2016
145
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction chapitre d’investigation légale sous Linux
Page 146
25/08/2016
146
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 147
25/08/2016
147
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Structure
Page 148
25/08/2016
148
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Comme pour Windows, la bonne compréhension des systèmes de
fichiers est nécessaire afin de réaliser l’efficience
• Les systèmes de fichiers jouent exactement le même rôle que ces index : organiser les fichiers de votre ordinateur sur votre disque dur de façon à pouvoir les retrouver lorsque vous en aurez besoin
• FS les plus connus :
•Ext2fs
•Ext3fs
•Ext4fs
Page 149
25/08/2016
149
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure d’un FS
Page 150
25/08/2016
150
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension systèmes de fichiers
•Analyse
Page 151
25/08/2016
151
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Quelles données collecter ?
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 152
25/08/2016
152
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Données à collecter
Page 153
25/08/2016
153
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Tout au long des formations qu’on a pu suivre ensemble,
on a pu découvrir à quel point la structuration des connaissances est importante
• En allant vers ce sens, il est très important de pouvoir structurer les différentes informations nécessaires à trouver, afin de ne pas perdre du temps et de gagner en efficacité
• Ce processus entre dans l’ingénierie organisationnelle
Page 154
25/08/2016
154
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données à collecter• Informations relatives au temps
• Interfaces réseaux
• Connexions
• Ports
• Services
• Fichiers
• Modules du Kernel
• …
Page 155
25/08/2016
155
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Quelles données collecter ?
•Pourquoi les collecter ?
• Ingénierie organisationnelle
Page 156
25/08/2016
156
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensiqueLinux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 157
25/08/2016
157
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Points importants
Page 158
25/08/2016
158
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
Page 159
25/08/2016
159
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Points importants • Compréhension : FS, Fonctionnement, Boot …
• Débogage
• Importance de la structuration des connaissances
• Les procédures et processus peuvent changer selon vos besoins
Page 160
25/08/2016
160
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Processus
•But
• Importance de la méthodologie
Page 161
25/08/2016
161
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 162
25/08/2016
162
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Méthodes d’acquisition du disque
•Méthodes d’acquisition de la mémoire
•Acquisition à froid
• Lab : Création d'une image
Page 163
25/08/2016
163
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition du disque
•Formats d’images :
• Raw
• Propriétaire incluant les métadonnées
• Propriétaire avec les métadonnées séparément
• Raw avec un hash
Page 164
25/08/2016
164
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
• Deux méthodes d’acquisition :
1. Méthode difficile :
� http://hysteria.sk/~niekt0/foriana/fmem_current.tgz
� Même principe que /dev/mem � /dev/fmem
� Image Raw
Page 165
25/08/2016
165
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
2. Méthode facile :
� Linux Memory Extractor
� Build pour un Kernel spécifique
Page 166
25/08/2016
166
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition à froid• Cool Boot Attack
• Attaque très intéressante
• Informations fraiches
• Pas de possibilités d’extraction via Volatility ou autre
• https://www.ethicalhacker.net/features/root/using-cold-boot-attacks-forensic-techniques-penetration-tests
Page 167
25/08/2016
167
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d'une image
Page 168
25/08/2016
168
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Types d’images
•Création d’images
•Pensez à des HD puissants et sécurisés
Page 169
25/08/2016
169
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lime
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 170
25/08/2016
170
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Lime
Page 171
25/08/2016
171
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Linux Memory Extractor (LiME)
• Build spécifique à un Kernel spécifique
• Ubuntu : apt-get install lime-forensics-dkms
• Repo Github : https://github.com/504ensicsLabs/LiME
• Format :
• Raw
• Padded
• Lime
Page 172
25/08/2016
172
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Lime
Page 173
25/08/2016
173
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Lime
•Exploitation de l’acquisition via Lime
•Le temps de l’analyse est arrivé
Page 174
25/08/2016
174
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de la mémoire
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 175
25/08/2016
175
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse de la mémoire
Page 176
25/08/2016
176
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Analyse de la mémoire
• Exploitation de volatility
• Puissance et efficacité
• Semblable à l’analyse de la mémoire sous Windows
• Combinaison parfaite avec LiME ☺
Page 177
25/08/2016
177
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
Page 178
25/08/2016
178
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse de la mémoire sous linux
•Volatility
Page 179
25/08/2016
179
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récolte d'informations
volatiles
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 180
25/08/2016
180
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Récolte d'informations volatiles
Page 181
25/08/2016
181
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Comme on a pu le voir auparavant, mais aussi pour les prochaines
vidéos, les informations volatiles sont une mine d’or à ne pas négliger
• Le but étant d’exploiter au maximum ces informations
• Les journaux doivent surtout répondre aux besoins en terme d’informations à récolter
• Vous pourrez remarquez que tout au long de la formation, il y a des informations complémentaires ☺
Page 182
25/08/2016
182
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récolte d'informations volatiles
Page 183
25/08/2016
183
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récolte d'informations volatiles
Page 184
25/08/2016
184
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 185
25/08/2016
185
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse de fichiers
Page 186
25/08/2016
186
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Suite à la création de l’image � « mount », nous allons pouvoir commencer l’analyse des différents éléments
• Pendant cette vidéo, nous allons analyser les différents fichiers
• Exploitation d’outils
• De l’investigation ☺
Page 187
25/08/2016
187
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de fichiers
Page 188
25/08/2016
188
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse de fichiers
• Investigation ohhh investigation ^^
Page 189
25/08/2016
189
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mesures post exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 190
25/08/2016
190
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Mesures post exploitation
Page 191
25/08/2016
191
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Suite à l’exploitation que peut ont faire d’orienté Forensique?
• Récupération des informations des registres
• Dump de processus
• Dump de la mémoire
Page 192
25/08/2016
192
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Mesures post exploitation
Page 193
25/08/2016
193
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mesures post exploitation
Page 194
25/08/2016
194
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots de passe
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
Page 195
25/08/2016
195
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Bypasser les mots de passe
Page 196
25/08/2016
196
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Point clé lors de l’analyse
• Passer par la grande porte
• Plusieurs techniques
• Etre le plus malin aussi peut jouer un grand rôle ☺
• Let’s find the Hash ☺
Page 197
25/08/2016
197
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passes
Page 198
25/08/2016
198
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Plusieurs techniques ☺
•Point clé
Page 199
25/08/2016
199
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l’investigation légale USB
Investigation légale USB
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 200
25/08/2016
200
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse initiale des données USB
Page 201
25/08/2016
201
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Les clés USB sont une mine d’or pour toute personne pratiquant le forensique
• Point fort � Flux de données dynamique
• Les données ne sont jamais vraiment supprimées � On en a parlé lors du chapitre introductif sur la formation
• Transport de données � Données importantes
Page 202
25/08/2016
202
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse initial données USB
Page 203
25/08/2016
203
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l’investigation légale USB
Page 204
25/08/2016
204
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d’une image
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
Page 205
25/08/2016
205
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Snapshot USB
Page 206
25/08/2016
206
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Effectuer un snapshot est un point des plus importants comme cité tout
au long de la formation
• Prendre un Snapshot est une étape qui peut prendre du temps
• L’outil utilisé pour la récupération de l’image est : Dc3dd , qui est un outil extrêmement puissant et spécialisé dans le forensique
• L’analyse forensique n’est pas une chose simple, Il faut de la patience, de la motivation et surtout de la compréhension � Revoir bases
Page 207
25/08/2016
207
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Snapshot USB
Page 208
25/08/2016
208
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Création d’une image d’un périphérique USB
Page 209
25/08/2016
209
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Sniffing
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
Page 210
25/08/2016
210
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Sniffing
Page 211
25/08/2016
211
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
•Sniffer � Intercepter, écouter
•Ecoute et analyse du Traffic USB
•Analyse
•Comportement
• Wireshark est ton ami ☺
Page 212
25/08/2016
212
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Sniffing
Page 213
25/08/2016
213
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Sniffing du traffic USB ;)
Page 214
25/08/2016
214
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation USB
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
Page 215
25/08/2016
215
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Forensique USB
Page 216
25/08/2016
216
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Analyse
• Historique des connexion USB
• Vol de documents
• Infection ☺
• Méthodologie � Encore et toujours
• Bien suivre les étapes
• Le forensique peut s’effectuer sur l’USB en tant que « Disque » ou encore une analyse sur les périphériques
Page 217
25/08/2016
217
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie de forensique USB
Déterminer le vendeur, produit, version
Numéro de serie
VID ET PID
Nom du dispositif
GUID
Utilisateur
Historique
Page 218
25/08/2016
218
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique USB
Page 219
25/08/2016
219
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse USB
•Méthodologie d’analyse
•Historique : Très important
Page 220
25/08/2016
220
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'Investigation légale Mobile
Investigation légale Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 221
25/08/2016
221
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l'Investigation légale Mobile
Page 222
25/08/2016
222
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Pourquoi le mobile ?
• Quelle est la chose la plus utilisée par une personne ☺ ?
• Quel trésor qui renferme le plus d’informations ☺ ?
• Pendant ce chapitre on va pouvoir découvrir plusieurs points
• Bypass de mots de passes � Point crucial
• Analyse
• Extraction de données
• iOS, Android et WindowsPhone
Page 223
25/08/2016
223
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l'Investigation légale Mobile
Page 224
25/08/2016
224
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
Page 225
25/08/2016
225
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Caractéristiques du smartphone
•Architecture d’Android
Page 226
25/08/2016
226
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Une bonne compréhension de l’architecture est primordiale pour aller « Deeper »
• Différents OS
• Dans notre cas, on va se focaliser sur l’OS mobile le plus utilisé � Android
• Architecture et composants
Page 227
25/08/2016
227
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristique smartphone
• Processeur
• Mémoire
• Affichage
• Camera
• Carte réseau
• Batterie
• …
Page 228
25/08/2016
228
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Système d’exploitation
Page 229
25/08/2016
229
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
L’architecture d’Android
Page 230
25/08/2016
230
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Architecture
Page 231
25/08/2016
231
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Carte SIM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
Page 232
25/08/2016
232
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• IMEI
• IMSI
•Autres informations
• Lab : Carte SIM
Page 233
25/08/2016
233
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• La carte SIM est un élément qui contient des informations complètes sur l’abonné
• À manipuler avec précaution
• Facteur d’authentification
• Mémoire non volatile et volatile
• Integrated Circuit Card Identification
• Electronic Serial Number
Page 234
25/08/2016
234
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMEI
• International Mobile Equipement Identifier
• *#06#
Page 235
25/08/2016
235
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMSI• International mobile subscriber identity
• Numéro unique, qui permet à un réseau mobile
d'identifier un usager.
• IMSI Catchers
Page 236
25/08/2016
236
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Autres informations•Mobile Country Code (MCC) •Mobile Network Code (MNC) •Mobile Subscriber Identification Number (MSIN) •Mobile Station International Subscriber Directory Number (MSISDN) •Abbreviated Dialing Numbers (ADN) •Last Dialed Numbers (LDN) •Short Message Service (SMS) •Language Preference (LP) •Ciphering Key (Kc) •Ciphering Key Sequence Number•Emergency Call Code •Fixed Dialing Numbers (FDN) •Local Area Identity (LAI) •Own Dialing Number•Temporary Mobile Subscriber Identity (TMSI)
Page 237
25/08/2016
237
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Carte SIM
Page 238
25/08/2016
238
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•La carte SIM peut être très utile
•Faites attention aux IMSI ☺
Page 239
25/08/2016
239
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus ForensiqueMobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
Page 240
25/08/2016
240
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Qu’est ce qu’on cherche?
•Processus forensique mobile
Page 241
25/08/2016
241
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’évolution continue de l’utilisation des smartphones en fait une cible
parfaite pour les hacker
• Malware, Scamming ou autre techniques
• Preuve parfaite
• Complexe � Pas tant que ça
• Comment bien appréhender le forensique mobile ?
• Suivre une méthodologie précise
Page 242
25/08/2016
242
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Qu’est ce qu’on cherche ?
Page 243
25/08/2016
243
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensique mobile
Page 244
25/08/2016
244
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Compréhension
• Structuration
• Allez droit au but
• Méthodologie
“La méthode, c'est le chemin, une fois qu'on l'a parcouru.” J.Mestre
Page 245
25/08/2016
245
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques Forensique Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
Page 246
25/08/2016
246
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Santoku
• Lab : Techniques Forensique Mobile
Page 247
25/08/2016
247
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Nous allons consacrer cette présentation spécialement pour les techniques forensiques mobiles
• Cela peut être des techniques d’analyse ou d’attaque
• Ne jamais oublier la méthodologie !
Page 248
25/08/2016
248
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Santoku
•Distribution Linux
•Spécialisé dans le forensique mobile
•Analyse de malwares
•Analyse d’applications
•Pentest mobile
Page 249
25/08/2016
249
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Techniques Forensique Mobile
Page 250
25/08/2016
250
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques forensique
•Multiple flans d’attaques
•La clé � La pratique ☺
Page 251
25/08/2016
251
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à la Stéganographie
Stéganographie
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 252
25/08/2016
252
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Fonctionnement
•En quoi la stéganographie est elle utilisée ?
•Techniques stéganographie
•Types stéganographie
Page 253
25/08/2016
253
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Techniques pour cacher un message secret au sein d’un message
ordinaire
• Transiter des informations (cryptées ou non) sans attirer l'attention
• La stéganographie date de 1499 avec le traité Steganographie publié par TRITHEMIUS et a pris depuis diverses formes au fur et à mesure de son évolution et de l'ingéniosité de ses utilisateurs
• Stéganographie moderne � Images (format bitmap) ou les fichiers audios
Page 254
25/08/2016
254
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Fonctionnement
Page 255
25/08/2016
255
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
En quoi la stéganographie est elle utilisé ?
•Malwares
•Fraude
•Communication entre terroristes
•Paiement électronique
•Authentification
Page 256
25/08/2016
256
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques de stéganographie
•Substitution
•Transformation
•Spectre
•Fréquence
•Distorsion
Page 257
25/08/2016
257
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de stéganographie
• Image
• Audio
• Video
• Web
• Documents
• Spam/Mail
• Fréquence texte
Page 258
25/08/2016
258
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à la Stéganographie
•Types de stéganographie
Page 259
25/08/2016
259
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques de Stéganographie
Stéganographie
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 260
25/08/2016
260
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Techniques de stéganographie
Page 261
25/08/2016
261
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Tout au long de cette vidéo, nous allons pouvoir exploiter différentes
techniques de stéganographie
•Audio
•Image
•Etc …
• Techniques basiques � Utilisation de logiciel dédié
• Techniques avancées � Utilisation de scripts python
Page 262
25/08/2016
262
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Techniques de stéganographie
Page 263
25/08/2016
263
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques de stéganographie
•Différents types
•Enjoy =)
Page 264
25/08/2016
264
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l’investigation des réseaux
Investigation des Réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 265
25/08/2016
265
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Méthodologie du forensique réseau
Page 266
25/08/2016
266
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le forensique au niveau des réseaux consiste à identifier une activité
« criminelle »
• Utilisation de plusieurs techniques : Sniffing, Enregistrement, Analyse…
• Inspection de traffic
• Logs – IDS/NIDS
• Pouvoir récupérer un ensemble d’éléments cruciaux :
� Source
� Technique
� Destination
Page 267
25/08/2016
267
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie du forensique réseau
Page 268
25/08/2016
268
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction forensique des réseaux
•Bien comprendre la méthodologie
•Les techniques ne sont pas tout ;)
Page 269
25/08/2016
269
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les attaques réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
Page 270
25/08/2016
270
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Vulnérabilités réseaux
•Types de vulnérabilités
Page 271
25/08/2016
271
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La bonne compréhension des attaques est un point important pour une
bonne analyse
• « La meilleure défense est l’attaque »
• Pour une bonne efficience, il faut suivre la formation Vulnérabilités réseaux
Page 272
25/08/2016
272
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Vulnérabilités réseaux
• Vulnérabilités internes
• Bande passante
• Bottlenecks
• Vulnérabilités externes
• Sniffing
• DoS
• DDoS
Page 273
25/08/2016
273
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de vulnérabilités
Spoofing Sniffing Altération MiTM SHijacking
DoS BO Trojan Malware
Virus Email Ransomware Enumération
Page 274
25/08/2016
274
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Les attaques réseaux
•Les principales attaques
Page 275
25/08/2016
275
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse et investigation des réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
Page 276
25/08/2016
276
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse et investigation des réseaux
Page 277
25/08/2016
277
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pourquoi l’investigation du réseau ?
• Identification des problèmes
• Identification d’actions malicieuses
• Localisation des attaquants
• Diverse techniques et outils (Wireshark, Sonde, AI, SIEM…)
• Identification via des IDS
Page 278
25/08/2016
278
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse et investigation réseaux
Page 279
25/08/2016
279
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Analyse et investigation des réseaux
• Outils
• IDS
• IA
• Solution de traçabilité ☺ � Balabit, Wallix …
• Bientôt des formations sur des solutions de traçabilité
Page 280
25/08/2016
280
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation des réseaux sans fils
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
Page 281
25/08/2016
281
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Introduction
• Lab : Investigation réseaux sans fils
Page 282
25/08/2016
282
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• On déjà eu la chance de pouvoir parler des réseaux sans fils
• Investigation sans fils
• Détection d’attaques
• Ne jamais oublier le routeur !
Page 283
25/08/2016
283
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Investigation réseaux sans fils
Page 284
25/08/2016
284
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Investigation réseaux sans fils
• Attaques
• Détection
• Testez !
Page 285
25/08/2016
285
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensic Toolkit® (FTK®)
Autres techniques d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 286
25/08/2016
286
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : FTK
Page 287
25/08/2016
287
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FTK : Forensic Toolkit est reconnu mondialement comme standard de forensique
• Plateforme complète, rapide, stable et efficace
• Supporte de grandes quantités de données
• Méthode de recherches avancées
• Analyse heuristique malwares
• Hash
Page 288
25/08/2016
288
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : FTK
Page 289
25/08/2016
289
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Découverte et exploitation des options du FTK
Page 290
25/08/2016
290
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Tracking de l’email
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
Page 291
25/08/2016
291
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Crime via email
• Lab : Tracking de l’email
Page 292
25/08/2016
292
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’investigation sur les emails est un des points les plus importants
• Renferme des données essentielles
• Quand le hacker devient une cible
• Header
• Catch me if you can !
Page 293
25/08/2016
293
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Crime via mail
• Crime via envoi de mail : spamming, mail bombing…
�Crime supporté par le mail : Blackmailing, fraude, usurpation d’identité..
• Anonymat
• Rapidité
• Facilité
Page 294
25/08/2016
294
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Tracking mail
Page 295
25/08/2016
295
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse des emails
•Tracking des emails
•Catch me if you can
Page 296
25/08/2016
296
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigations des attaques web
Autres techniques d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 297
25/08/2016
297
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Architecture
•Etapes de l’investigation
Page 298
25/08/2016
298
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
•L’investigation web passe par plusieurs étapes importantes
•Vaut mieux prévenir que guérir ☺
•OWASP
Page 299
25/08/2016
299
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
Page 300
25/08/2016
300
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Etapes de l’investigation • Etape 1 : Localisation des logs
• Etape 2 : Compréhension des logs
• Etape 3 : Analyse des logs
IP_ADDRESS - - [Date_Time Timezone] "HTTPMETHOD /URL HTTP_VERSION" HTTP_RESPONSE_CODE HTTP_LENGHT "REFERER" "USER AGENT"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
$ cat access-log |grep -E "wp-admin|wp-login|POST /" | more
Page 301
25/08/2016
301
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•L’investigation des attaques web
• Inspection des logs des serveurs
Page 302
25/08/2016
302
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récupération des données et fichiers supprimés
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
Page 303
25/08/2016
303
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Récupération des données et fichiers supprimés
Page 304
25/08/2016
304
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pendant cette présentation, nous allons pouvoir apprendre comment analyser les fichiers supprimés sur un disque
• Analyse des signatures et de l’historique
• Outils automatisés
• Analyse des activités récentes
Page 305
25/08/2016
305
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récupération de données et fichiers supprimés
Page 306
25/08/2016
306
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récupération des données et fichiers supprimés
•Analyse des activités récentes
Page 307
25/08/2016
307
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les rapports d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Page 308
25/08/2016
308
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Les rapports d'investigation
Page 309
25/08/2016
309
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le reporting est un des points les plus importants voir le plus important
comme on a pu le découvrir tout au long de toutes ces formations qu’on a pu voir ensemble
• Le reporting au niveau forensique est spécial
• Le rapport compte plus que tout
• Je vais vous fournir des templates qu’on va analyser ensemble
• On va faire la construction de rapport ensemble
Page 310
25/08/2016
310
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Rapports d'investigation
Page 311
25/08/2016
311
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Reporting
•Template
•Outils
Page 312
25/08/2016
312
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Conclusion
Page 313
25/08/2016
313
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilités
réseaux
Page 314
25/08/2016
314
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous Windows
• Environnement Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques d'investigation
• Rapports d'investigation
• Conclusion
Page 315
25/08/2016
315
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
Page 316
25/08/2016
316
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Perspectives
Perspectives
Page 317
25/08/2016
317
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La Suite • Tester vos compétences (rootme,
NewbieContest, CTF…etc)
• D’autres modules en cours de préparation
• Veille
• Pratique
• Grande surprise : CEHv9 en cours de préparation rien que pour vous ^^
Page 318
25/08/2016
318
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
Page 319
25/08/2016
319
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Questions ? Remarques ? Critiques ?