Paweł Goleń, blog

Na stronie F-Response znajduje się slogan:

Oddaje on dość dobrze to, czym jest to narzędzie. Należy tutaj zwrócić szczególną uwagę na słówko remote. Właśnie o tą zdalną analizę tutaj chodzi. F-Response nie daje możliwość zdalnego dostępu do dysków badanych komputerów i wykonywania na nich analiz. Tylko tyle i aż tyle. F-Response w żadnym razie nie jest narzędziem do analizy dysków, natomiast pozwala na wykorzystanie dowolnego (już używanego) narzędzia do tworzenia obrazów lub analizy dysku (i właśnie dlatego jest to vendor agnostic solution). Co to oznacza w praktyce? Osoby, które korzystają z FTK z użyciem F-Respone mogą nadal korzystać z FTK i nie ruszając się z biura (oraz nie ruszając podejrzanego komputera z tego miejsca gdzie się on znajduje) wykonać analizy. Analogicznie jeśli ktoś korzysta z ProDiscover (przypominam, że wersja Basic jest darmowa), Sleuth Kit z lub bez Autopsy (lub PTK zamiast Autopsy), może wykonywać kopie dysków przy pomocy Forensic Acquisition Utilities, zwykłego dd lub dowolnego innego wybranego narzędzia. Po prostu dyski z badanej maszyny będą widziane w lokalnym systemie jak normalne dyski. Zresztą nie tylko dyski, z powodzeniem dostałem się do podłączonej pamięci USB, w planach mam sprawdzenie, czy uda się dostać do zamontowanych dysków TrueCrypt.

Jaka jest różnica między tym, co daje F-Response a zwykłym "podpięciem się" do badanego systemu przez \\system\c$? Główna różnica polega na tym, że ma się dostęp bezpośrednio do dysku, a nie do tego, co system z niego odczyta. Oznacza to, że można bezpośrednio analizować dane na nim zapisane, w tym usunięte pliki czy tak zwane slack space. W przypadku dostępu przez udział sieciowy tego typu badania są po prostu niemożliwe. Ważne jest również to, że dostęp oferowany przez F-Response jest w trybie read only w związku z czym przy prowadzeniu analizy możliwość zmiany stanu badanego obiektu jest istotnie zmniejszona.

To, co nieco psuje wizerunek vendor agnostic, to fakt, że całe rozwiązanie dedykowane jest dla Windows.

To, co najbardziej mnie zaskoczyło to bardzo niewielki rozmiar całego rozwiązania. Składa się on z dwóch elementów:

• serwera licencji (w przypadku wersji Enterprise: F-Response Enterprise NetUniKey Server),
• pliku f-response-ent.exe, którego rozmiar to mniej niż 90KiB(!),

Serwer licencji obsługuje dongle (z licencją, jak łatwo się domyślić) i jest instalowany na maszynie, z której prowadzone są analizy (NIE jest instalowany na maszynie badanej). Na maszynie badanej instalowana jest usługa realizowana właśnie przez f-response-ent.exe. W najprostszym wypadku instalacja składa się z:

• zainstalowania usługi,
• skonfigurowania usługi,
• uruchomienia usługi,

Instalacja usługi sprowadza się do wydania polecenia: f-response-ent.exe -c Powoduje to stworzenie (instalację) usługi o nazwie F-Response Enterprise, choć możliwe jest również zainstalowanie usługi pod inną nazwą. Konfiguracja usługi jest również bardzo prosta, wystarczy podać:

• nazwę użytkownika (dokładnie 8 znaków),
• hasło (dokładnie 14 znaków),
• port na którym usługa oczekuje na połączenia,
• adres serwera licencji,
• port serwera licencji,

W rezultacie tworzony jest plik NetUniKey.ini, z którego usługa pobiera konfigurację w trakcie uruchamiania.

Warto wspomnieć, że żaden z powyższych kroków nie wymaga restartu komputera. Po skończonej pracy usługę równie prosto można odinstalować. Ponieważ wersja Enterprise udostępnia CLI, całość (zainstalowanie, skonfigurowanie i usunięcie usługi) można bez problemu wykonać zdalnie, na przykład z pomocą narzędzia PsExec z pakietu PsTools.

Gdy usługa jest już zainstalowana i skonfigurowana, wystarczy ją uruchomić (start usługi skonfigurowany jest na uruchamianie ręczne). Dobrze, ale jak dostać się teraz do dysków?

iSCSI Dostęp do dysków udostępnianych za pośrednictwem F-Response jest realizowany za pośrednictwem protokołu iSCSI. Muszę powiedzieć, że bardzo podoba mi się takie rozwiązanie problemu. Na pewno to lepszy wybór niż tworzenie własnego protokołu, który oczywiście wymagałby również własnego klienta. A tak zamiast klienta wystarczy Microsoft iSCSI Software Initiator. Swoja drogą w zasadzie nie widzę powodów, by do tak udostępnionych dysków nie dostać się z innego systemu operacyjnego (no chyba, że problemem jest serwer licencji, tego, przyzna się, nie sprawdzałem).

A nie prościej zabrać dysk? Nie zawsze. Ten dysk może znajdować się na przykład na drugim końcu kraju, a i osoba, która z niego korzysta nie powinna wiedzieć, że jest poddawany analizie. Nie można zawężać tematu informatyki śledczej jedynie do spraw typu lub czasopisma (słynny, nie do końca wyczyszczony dysk Jakubowskiej). Jak już kiedyś wspominałem całkiem sporo informatyki śledczej może mieć zastosowania wewnątrz korporacji.

Inny przykład wykorzystania F-Response został opisany tutaj: F-Response to the rescue!. Nie zawsze można sobie pozwolić na wyłączenie analizowanego serwera, zwłaszcza, że niektóre analizy mają dopiero na celu ustalenie, czy dalsze badania są celowe (to znaczy, czy rzeczywiście miał miejsce jakiś incydent, czy też nie).

Poza tym cały czas rozważany jest temat live response, czyli działań wykonywanych na działającym systemie. Standardowo w systemie (Windows oczywiście) nie ma żadnych narzędzi, które pozwoliłyby na stworzenie kopii dysków. Nawet jeśli badany komputer jest w zasięgu, warto zastanowić się, które narzędzie spowoduje najmniejszą ingerencję w stan badanego obiektu. Jeśli mam porównywać F-Response z FAU, FTK czy ProDiscover (chodzi mi tutaj o stworzenie obrazu), to wydaje mi się, że ilość śladów pozostawionych (a przy okazji być może nadpisanych) przez F-Response jest zdecydowanie najmniejsza. Przypominam:

• F-Response: mniej niż 90KiB,
• FAU (tylko x86): 6MiB,
• FTK Imager: prawie 7MiB,
• ProDiscover Basic: 110MiB,

F-Response dostępny jest w kilku wersjach:

• Field Kit Edition,
• Consultant Edition,
• Enterprise Edition,

Oczywiście wersja Enterprise daje największe możliwości, przy czym w tym wypadku oznacza to tyle, że usługa F-Response może być instalowana zdalnie, a osoba badająca może mieć dostęp jednocześnie do wielu badanych komputerów. Wersja ta może być użyteczna na przykład wewnątrz korporacji. Wersje Field Kit oraz Consultant Edition pozwalają na to samo co wersja Enterprise (czyli na dostęp do dysków badanej maszyny przez sieć), różnica leży w sposobie uruchomienia narzędzia. W przypadku wersji Field Kit dongle z licencją musi być fizycznie włożony do analizowanej maszyny, a konfiguracja narzędzia odbywa się z GUI. W przypadku wersji Consultant Edition dostępny jest już serwer licencji, nie ma jednak CLI (czyli jest konieczność wykorzystania GUI), w związku z czym również konieczne jest wykonanie akcji bezpośrednio na analizowanym komputerze (uruchomienie i skonfigurowanie F-Response Consultant Edition, choć nie koniecznie oznacza to fizyczną obecność przy tym komputerze).

F-Response to małe narzędzie, które po prostu działa. Pozwala na zdalny dostęp (przez sieć) do dysków analizowanej maszyny, a to, czy będzie przydatne zależy tak naprawdę od osoby, która ma go używać. Jeśli ktoś zajmuje się szeroko rozumianą informatyką śledczą (bardziej dla biznesu niż dla organów ścigania), to prawdopodobnie znajdzie dla tego narzędzia zastosowanie. W każdym razie zapoznać się z tym narzędziem warto.