Beveiligingsonderzoeker Vitaly Kamluk heeft een opensourcetool voor remote forensisch onderzoek uitgebracht die bedoeld is voor andere onderzoekers, politie en bedrijven. Kamluk is werkzaam voor anti-virusbedrijf Kaspersky Lab, maar heeft deze tool op eigen titel ontwikkeld en gepubliceerd.
Via Bitscout 2.0 is het mogelijk om via ssh en vpn op afstand toegang tot systemen te krijgen en die te onderzoeken. Een eigenaar van een gehackt of besmet systeem brandt het programma op een cd en start vervolgens het getroffen systeem van deze cd. Zo kan er bijvoorbeeld een forensische kopie van een harde schijf worden gemaakt zonder dat de forensisch onderzoeker ter plekke hoeft te zijn. Ook kan de tool worden gebruikt om bijvoorbeeld malware zoals rootkits van systemen te verwijderen.
Kamluk stelt dat bij het gebruik van soortgelijke tools vertrouwen een belangrijke rol speelt, omdat de eigenaar van het systeem iemand anders op afstand toegang geeft. Om deze vertrouwenskwestie op te lossen beperkt Bitscout 2.0 de toegang die een expert tot de hardware heeft en monitort alles wat hij of zij doet. Zo heeft de expert die op afstand is ingelogd alleen rootrechten binnen een virtuele 'unprivileged' container. De expert kan daarnaast alleen maar de harde schijven benaderen waar de eigenaar van het systeem toegang toe geeft.
Het is wel mogelijk voor de expert om aanvullende software te installeren en systeembestanden aan te passen, zonder het risico dat het hostsysteem of de gegevens op de harde schijf worden aangepast. Alle aanpassingen vinden namelijk in het werkgeheugen van het systeem plaats. Voor monitoring worden alle remote sessies opgeslagen en buiten de container van de expert bewaard. "Dit biedt een goed scheidingsniveau en een manier om het forensisch proces voor leerdoeleinden te reconstrueren of het bestaan van bewijs aan te tonen", aldus de onderzoeker. Bitscout 2.0 is te downloaden via GitHub.
Deze posting is gelocked. Reageren is niet meer mogelijk.