survivre a un BUST v4.pdf - Wiki de l'internet libre - Korben
survivre a un BUST v4.pdf - Wiki de l'internet libre - Korben
survivre a un BUST v4.pdf - Wiki de l'internet libre - Korben
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Il est a l'origine d'<strong>un</strong> kit anti-forensics nommé The Defiler's Toolkit (TDT) qui permet d'anonymiser <strong>un</strong><br />
système ext2 en effacant les informations rémanentes.<br />
necrofile se charge d'écraser le contenu <strong>de</strong>s anciens fichiers sur <strong>un</strong>e partition (ceux effaces par <strong>un</strong><br />
simple rm)<br />
klismafile se charge d'écraser les métadonnées dans <strong>un</strong> répertoire (nom du fichier et timestamps qui<br />
ne sont pas supprimés par rm)<br />
Plus d'informations :<br />
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-grugq.pdf<br />
http://www.dhs-team.org/root/~viriiz/ELF/docs/grugq/p59-0x06.txt<br />
Les binaires <strong>de</strong> klismafile et necrofile sont trouvables ici :<br />
http://membres.lycos.fr/lotfree/tools/<br />
Anti-forensic techniques sur le Forensics <strong>Wiki</strong><br />
How Online Criminals Make Themselves Tough to Find, Near Impossible to Nab<br />
Une métho<strong>de</strong> rapi<strong>de</strong> pour rendre difficile l'exploitation <strong>de</strong>s données consiste à n'écraser que les entêtes<br />
<strong>de</strong>s fichiers.<br />
Avec shred on peut facilement utiliser cette métho<strong>de</strong> <strong>de</strong> secours avec les options -s (nombre d'octets à<br />
effacer) et -n (nombre d'écrasements).<br />
Combiné avec la comman<strong>de</strong> find pour effacer tous les fichiers dans <strong>un</strong> répertoire :<br />
find /home/hacker -type f -exec shred -u -s 15 -n 1 {} \;<br />
on supprime ensuite les répertoires :<br />
rm -rf /home/hacker<br />
Le résultat n'est pas instantané mais c'est le meilleur compromis entre vitesse et résultat. Les entêtes<br />
<strong>de</strong>s fichiers ne dépassent généralement pas les 15 octets.<br />
SDelete peut être considéré comme l'équivalent Windows <strong>de</strong> shred.<br />
SafeShred est <strong>un</strong> logiciel du même type pour Mac OS X.<br />
Windows propose quelques astuces permettant <strong>de</strong> rendre son système moins parlant.<br />
Désactiver la date <strong>de</strong> <strong>de</strong>rnier accès à <strong>un</strong> fichier sur NTFS :<br />
http://www.wingui<strong>de</strong>s.com/registry/display.php/50/<br />
Chiffrement <strong>de</strong> fichiers<br />
Il existe <strong>un</strong>e pléthore <strong>de</strong> logiciels pour chiffrer les fichiers. Leur inconvénient est bien sûr que les<br />
fichiers chiffrés sont assez simples à repérer (semblent illisibles ou portent <strong>un</strong>e extension spécifique au<br />
logiciel utilisé).<br />
Les plus intéressant sont sans doute GnuPG (multiplateforme, <strong>de</strong> nombreuses interfaces graphiques<br />
disponibles) et AxCrypt (qui s'intègre bien à l'explorateur Windows).<br />
Il existe aussi LockNote <strong>de</strong> Steganos qui est <strong>un</strong> logiciel gratuit, similaire au Notepad <strong>de</strong> Windows, et<br />
qui chiffre les documents texte.<br />
Les logiciels d'archivage proposent maintenant <strong>de</strong>s système <strong>de</strong> protection par mot <strong>de</strong> passe se basant<br />
sur <strong>de</strong>s algorithmes robustes (fouillez dans les options <strong>de</strong> vos logiciels).<br />
Les systèmes <strong>de</strong> fichier cryptés<br />
Certaines distributions Linux proposent <strong>de</strong> chiffrer les partitions lors <strong>de</strong> l'installation, c'est le cas par<br />
exemple <strong>de</strong> Mandriva et openSUSE. Presque toutes les distributions intègrent <strong>de</strong>s modules<br />
cryptographiques (CryptoLoop, Loop-AES, TrueCrypt...) TrueCrypt permet également <strong>de</strong> créer <strong>de</strong>s<br />
partitions cachées.<br />
13