Le defiling s'attaque aux outils de recueil de preuves informatique

Par Ludovic Blin, secuobs.com
Le 02/06/2004

---

Résumé : Le consultant en sécurité américain The Grugq a décrit à la conférence Blackhat Europe 2004 les différentes techniques et outils permettant de mettre en échec les outils de recueil de preuves informatiques (forensics). - Lire l'article



Le consultant en sécurité et développeur de système IPS américain The Grugq présentait à la conférence Black Hat Europe 2004 un exposé concernant les failles et techniques utilisés pour le recueil des preuves informatiques (forensics), ainsi que les moyens de les exploiter. Cette présentation portait principalement sur les systèmes Unix. Cette technique, dénommée defiling consiste à attaquer les outils utilisés par les analystes et experts judiciaires, comme par exemple TCT (The Coroner's Toolkit). En effet, ces derniers sont tenus par le resultat obtenu de leurs outils. Les différents concepts évoqués peuvent aussi servir pour tromper les honeypots.

En premier lieu, il s'agit de pouvoir conserver d'une manière fiable un fichier en le cachant dans un système de fichier de manière à ce qu'il ne soit pas découvert. Pour cela il convient de s'intéresser à la structure des systèmes de fichiers. Notons que les fichiers "normaux", même effacés, peuvent être récupérés par TCT et autres. Il s'agit donc tout d'abord de détruire les résidus de fichiers qui peuvent être contenus dans des inodes défectueux, des entrées de repertoires ou des bloc de données défecteux. De meme l'activité dy système de fichiers peut être révelée grace aux horodatages contenus dans les inodes. Cette premiere phase peut etre effectuée grace à des outils tels que Necrofile ou Klismafile.

La seconde phase consiste à cacher les données sensibles (et les encrypter). The grugq utilise pour cela l'acronyme Filesystem Insertion et Subversion Techniques (FIST). Concrètement, il s'agit d'insérer les données dans un endroit qui est accessible du système de fichier, sans l'être directement par le kernel ou les outils de recueil de preuves. Il est possible à cette fin d'utiliser plusieurs techniques. Par exemple le RuneFS exploite une implémentation incorrecte des spécifications du système de fichiers ext2 dans TCT pour fournir jusqu'a 4Go de stockage. D'autres techniques permettent de stocker des données dans un faux fichier journal (par exemple un système ext3 qui est en fait un ext2 avec un faux journal), ou encore d'utiliser des entrées de repertoire nulle à la même fin. Le principe général est de détecter les différences (au niveau du code ou de la logique) entre les spécifications des systèmes de fichiers et l'implémentation dans les outils de forensics.

Enfin, la troisième phase, dénommée Data Contraception, vise à cacher les données en en écrivant pas ou le moins possible sur le disque. Cela est possible en utilisant les IUD (Intra Userland Device ou Inter Userland Device). Il est notamment possible d'utiliser à cette fin le débuggeur GDB par la technique du "Syscall Proxying" par exemple en utilisant Libgdbrpc. Cela permet l'execution de programmes binaires sans entrainer la création d'un fichier sur le disque. Cette technique permet notamment d'éviter le recueil du binaire par un honeypot. Un autre technique est dénommée ftrans et a été publiée dans phrack n°63 (le non officiel, le vrai n°62 devant sortir cet été). Les outils rexec v2 et xsh (exploit shell) peuvent aussi être utilisés.

Cependant, il faut garder à l'esprit que en ce qui concerne les supports magnétiques, il est possible de remonter très loin dans les effacement ssuccessifs grace au phénomène physique de rémanence magnétique, et à condition d'utiliser du matériel coûteux et du temps. Cette technique, qui accède au disque dur au plus bas niveau, peut permettre de récupérer des informations même cachées dans des endroits obscurs du système de fichier. (voir article).