Programmi forensi anti-live

7

Contro l'acquisizione di Dead Forensics possiamo usare la crittografia del disco (possiamo usare TrueCrypt per esempio).

Mi stavo chiedendo se il software esiste contro la diretta legale? Puoi darmi una lista per windows e linux (il più popolare)?

Quali altri modi ci sono per proteggersi da questo tipo di "attacco"?

Ad esempio, EnCase ® Forensic è utilizzato dalle forze dell'ordine per le indagini forensi dal vivo (tra l'altro). link

    
posta lzeowhzl 29.06.2015 - 03:23
fonte

2 risposte

3

Suppongo che ciò che intendi per "live forensics" sarebbe ciò che la comunità infosec di solito si riferisce come memoria forense , ad es. . prendere la macchina mentre è attiva e sbloccata e procedere a scaricare tutti i dati da essa.

La soluzione al tuo problema sarebbe duplice:

  • Prima devi avere una buona sicurezza fisica, in modo che gli aggressori non possano accedere al tuo computer sbloccato.
  • In secondo luogo dovresti assicurarti che anche gli autori di attacchi non possano accedere in remoto al tuo computer. SELinux potrebbe essere utile qui.

Quindi per TL; DR per te:

"Live forensics" richiede un sistema live (duh). Se qualcuno ha accesso al tuo sistema live che hai già perso.

Se ti preoccupi davvero delle agenzie governative, dovresti iniziare a informarti sulle leggi locali e sui tuoi diritti personali (locali) (dato che i diritti sembrano non essere coerenti in tutto il mondo) e sforzarti di rimanere all'interno delle loro limiti.

    
risposta data 25.07.2015 - 14:22
fonte
2

Scrivi un programma che provoca uno spegnimento immediato se qualcuno inserisce qualcosa in una porta USB quando non hai inserito per la prima volta una password per la lista bianca di quel dispositivo. Assicurati di utilizzare un account limitato in modo che nulla di serio possa essere fatto sul computer senza password di amministratore (come il comando Linux per scaricare il contenuto della RAM).

Usa la RAM DDR3 più recente poiché "dimentica" le cose entro un millisecondo quando viene rimossa l'alimentazione. Per effetto aggiunto, in qualche modo, blocca il caso tower e forse installa un pulsante che causerebbe uno spegnimento quando aperto.

Crittografia completa del disco, assicurati di utilizzare Linux.

Dal libro Computer Forensics for Dummies stupidamente sembra essere una pratica standard con i computer desktop per tirare il cavo di alimentazione e fare un'immagine dell'HDD prima di tentare qualsiasi analisi forense. Se hai seguito i passaggi precedenti, non saranno in grado di recuperare nulla a causa della crittografia.

Nota quanto sopra non è vero con i server, dove consiglio è quello di spegnere normalmente.

Extra facoltativo: aggiungi uno script per cancellare la RAM al clean shutdown (cosa utilizza Tails). Sebbene questo non sia necessario se usi la nuova RAM DDR3, potrebbe aiutarti a dormire meglio.

EDIT: Hai dimenticato di dire che in alcuni casi estremi potevano congelare la tua RAM con aria liquida, il che avrebbe richiesto ore di "dimenticanza".

    
risposta data 29.03.2016 - 10:51
fonte

Leggi altre domande sui tag