Programas forenses anti-live

7

En contra de la adquisición forense muerta podemos usar cifrado de disco (podemos usar TrueCrypt por ejemplo).

Me preguntaba si existe software contra Live forensic. ¿Me puede dar una lista de Windows y Linux (el más popular)?

¿Qué otras formas existen para protegerse de este tipo de "ataque"?

Por ejemplo, EnCase® Forensic es utilizado por la policía para forense en vivo (entre otros). enlace

    
pregunta lzeowhzl 29.06.2015 - 03:23
fuente

2 respuestas

3

Supongo que lo que quiere decir con "forense en vivo" sería lo que la comunidad infosec suele denominar forense de memoria , por ejemplo . tomar su máquina mientras está activa y desbloqueada y proceder a volcar todos los datos de ella.

La solución a su problema sería doble:

  • Primero debe tener una buena seguridad física para que los atacantes no puedan acceder a su computadora desbloqueada.
  • En segundo lugar, deberías asegurarte de que los atacantes no puedan acceder a tu máquina de forma remota también. SELinux podría ser útil aquí.

Entonces, para TL; DR para usted:

"Live forensics" requiere un sistema en vivo (duh). Si alguien tiene acceso a tu sistema en vivo, ya lo has perdido.

Si realmente se preocupa por las agencias gubernamentales, entonces debe comenzar a informarse sobre sus leyes locales y sus derechos personales (locales) (ya que los derechos parecen ser bastante incompatibles en todo el mundo) y hacer un esfuerzo por mantenerse dentro de sus límites.

    
respondido por el Wolfer 25.07.2015 - 14:22
fuente
2

Escriba un programa que provoque un cierre inmediato si alguien inserta algo en un puerto USB cuando no ha ingresado una contraseña en la lista blanca de ese dispositivo. Asegúrese de usar una cuenta limitada para que no se pueda hacer nada serio en la computadora sin la contraseña de administrador (como el comando de Linux para volcar el contenido de la RAM).

Utilice la nueva memoria RAM DDR3, ya que "olvida" las cosas en un milisegundo cuando se elimina la alimentación. Para un efecto adicional, de alguna manera bloquee la carcasa de la torre, y quizás instale un botón que podría causar un cierre cuando se abre.

Cifrado de disco completo, asegúrate de usar Linux.

Del libro Computer Forensics for Dummies, parece ser una práctica estúpida con las computadoras de escritorio para tirar del cable de alimentación y crear una imagen de la unidad de disco duro antes de intentar forenses. Si siguió los pasos anteriores, no podrán recuperar nada debido al cifrado.

Tenga en cuenta que lo anterior no es cierto con los servidores, donde se recomienda apagar normalmente.

Opcional extra: agregue una secuencia de comandos para borrar la RAM en un apagado limpio (lo que usa el sistema operativo Tails). Aunque esto no es necesario si usa la nueva memoria RAM DDR3, puede ayudarlo a dormir mejor.

EDITAR: Olvidé mencionar que en algunos casos extremos podrían congelar tu RAM con aire líquido, lo que podría llevarle horas a "olvidar" las cosas.

    
respondido por el k1308517 29.03.2016 - 10:51
fuente

Lea otras preguntas en las etiquetas