SANS SIFT Workstation

Posted by

Hoje iremos ver como transformar uma máquina em uma estação de trabalho para profissionais forenses, mais precisamente iremos usar a estação de trabalho SIFT Workstation que foi montada pelo SANS Institute.

Esta é uma estação de trabalho que possui uma conjunto de ferramentas próprios para uma investigação forense, desde ferramentas de procura e recuperação de ficheiros até ferramentas que tentam recuperar ficheiros escondidos utilizando técnicas anti-forense.A SIFT Workstation é uma estação de trabalho baseada no Ubuntu (geralmente as versões LTS) que vem com um conjunto de ferramentas para tentar atender as diversas necessidades de um profissional forense. Uma máquina virtual é disponibilizada para quem quiser simplesmente testar ou utilizar a mesma em um ambiente virtual, no entanto uma instalação padrão do Ubuntu desktop também pode ser facilmente transformada em uma máquina deste tipo utilizando um script de instalação disponibilizado pela própria SANS.

Neste artigo iremos mostrar o processo para transformar uma instalação padrão Ubuntu em uma estação de trabalho SIFT Workstation.

Até a data em que o artigo foi escrito a ultima versão LTS do Ubuntu é a 16.04. Neste artigo não vamos focar na instalação do Ubuntu por vários motivos, os principais deles sendo, existem vários artigos e vídeos que ensinam a fazer a instalação do Ubuntu e é assumido que o leitor deste artigo já possui algum conhecimento básico sobre instalação e uso básico de distribuições Linux.

Após a instalação do Ubuntu deve-se obter o script de instalação disponibilizado pelo própria SANS na sua conta no GitHub.

Tenha em atenção a execução dos comandos porque alguns podem falhar por causa da alteração das versões dos scripts.

$ wget https://github.com/sans-dfir/sift-cli/releases/download/v1.5.1/sift-cli-linux
$ wget https://github.com/sans-dfir/sift-cli/releases/download/v1.5.1/sift-cli-linux.sha256.asc

Após o download destes arquivos podemos baixar a chave de segurança GPG da SANS para verificar a integridade do arquivo.

$ gpg --keyserver pgp.mit.edu --recv-keys 22598A94
$ gpg --verify sift-cli-linux.sha256.asc

Como este arquivo trata-se de um script executável vamos atribuir as permissões correctas para podermos executar o mesmo durante o processo de instalação.

$ chmod 755 sift-cli-linux

Após este passo iremos mover o arquivo para o directório “/usr/local/bin/” porque o mesmo encontra-se entre os directórios de arquivos executáveis pardão para o sistema, isso nos permite executar o script como outro programa qualquer a qualquer momento, não sendo forçado a estar no mesmo directório em que se encontra o script. Ao mesmo tempo iremos renomear o arquivo de “sift-cli-linux” para “sift”, tornando assim os comandos mais simples 😄.

$ mv sift-cli-linux /usr/local/bin/sift

Após este ultimo passo podemos começar a instalação da SIFT Workstation. Para isto simplesmente executamos o script com a opção “install”.

Tendo em conta que iremos instalar pacotes no sistema devemos executar o script com privilégios de administrador.

$ sudo sift install

Este comando irá começar com o download e instalação dos pacotes e riá também fazer algumas pequenas alterações no sistema como por exemplo mudar o papel de parede do utilizador e disponibilizar arquivos de consulta rápida preparados pela SANS com comandos e dicas para os principais programas que os profissionais utilizam.

O resultado final deste script é algo como a imagem abaixo.

Caso alguém tenha algum interesse em saber mais sobre alguns dos programas instalados pode solicitar um artigo com dicas básicas sobre o mesmo ou ainda ficar atento ao Blog, vamos tentar postar artigos referentes a alguns dos principais programas.

Obrigado e até a próxima.

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.