[Cet article est extrait du rapport de Veille Technologique Sécurité N°106 du mois de Mai 2007. Pour plus d’informations sur cette publication, contactez-nous.]
Le projet ‘HoneyNet’ proposait, il y a quelque temps, divers défis permettant de s’exercer à la difficile tâche de l’investigation d’un incident informatique ou ‘forensique’. Hélas, depuis maintenant 2 ans, plus aucun challenge n’a été diffusé.
Seul un chroniqueur du Sans ISC livre encore de temps en temps un défi permettant de s’entraîner sur des exemples pratiques. Les défis publiés jusqu’à maintenant ne forment cependant pas un référentiel permettant de valider les performances, ou le bon fonctionnement, des outils d’analyse voire d’aider à la mise au point de procédures d’investigation.
Le NIST – National Institute of Standards and Technology – vient en conséquence d’initialiser le projet ‘CFReDS’ – Computer Forensic Reference Data Sets – dont l’objet est de constituer un référentiel de procédures et de scénarios d’investigation issus de situations réelles ou simulées. Les données de référence associées sont conservées et mises à disposition du public sous la forme d’une copie – dite ‘image’ – du ou des disques du système ayant été investigué ou ayant servi à la création du scénario de test. Sous peu, le NIST devrait mettre à disposition les outils ayant servi à créer les données et images de référence.
Sept cas pratiques sont actuellement proposés sur le site du NIST qui proviennent des tests et des expériences menées par le NIST dans l’optique de valider les fonctionnalités de divers outils d’analyse, et ce notamment dans le cadre du projet ‘Computer Forensics Tool Testing’ ou ‘CFFT’.
Rappelons que le NIST maintient par ailleurs une base de données de référence dite ‘NSRL’ (National Software Reference Library) contenant les sommes cryptographiques SHA-1, MD5 et CRC32 de plus de 42 077 728 fichiers correspondant aux invariants classiquement rencontrés sur les disques des serveurs et postes de travail: exécutables, librairies et ressources graphiques des systèmes d’exploitation les plus connus et des applications les plus utilisées, …
Il devient ainsi possible d’identifier très rapidement les fichiers invariants présents sur le(s) disque(s) dur(s) de l’équipement informatique analysé afin de se concentrer sur l’essentiel: la recherche d’indices et de preuves.
Cette base est depuis quelques temps gracieusement mise à disposition sur le site du NIST sous la forme d’images ISO 9660 destinées à être gravées sur CD-ROM. La version RDS 2.17 produite en juin dernier comporte les quatre images suivantes: Applications hors langue anglaise (220Mo), Systèmes d’exploitation (106Mo), Applications (544Mo), Images et graphiques (223Mo).
(3 votes)
Loading ...