Hardware

Hardware er der skrevet om tidligere, men i en anden kontekst. Det jeg lægger vægten på her, er det hardware du skal bruge til analyse arbejdet.

Jeg har lavet en kravs liste til faget, her har jeg beskrevet, hvad der kræves til at deltage. I en virksomhed, vil det være samme tilgang, eller hvad man nu vurdere af krav. Rådet her, er at start med noget brugt, som opgraderes med eks RAM, HARDDISK. På den måde ødelægger du ikke budgettet og du kan måske bruge det som en POC (Proof Of Concept)

Table of Contents

• Tanker om hardware
• Det hardware til formålet
• Analyse af filer
• Analyse af udlæsninger
• Analyse af malware
• Hvornår er nok, nok!
• Er brugt godt nok ?
• Når du må vælge fra øverste hylde
• Hvordan ville jeg skrue en maskine sammen?

Tanker om hardware

For at komme igang med det her felt, så kræver det hardware, det er der ikke nogen tvivl om. Spørgsmålet er så bare hvor meget man skal kaste efter sit udstyr af kroner og øre? Skal der være stationær eller en bærbar computer?

Min tilgang er, at man skal ikke købe det nyeste nye og starte derfra. Jeg vil gerne finde brugt og starte derfra, så kan man bedre få en ide om hvordan sine behov udarter sig. Min personlige erfaring er, at man kan nå lagt med aflagt udstyr og det kan overaske hvor meget “power” der kan være i en ældre PC med en SSD og Linux!

I klassen kigger vi på hvordan Linux kan bruges i sammenhæng med analyse og undersøgelser. Har du en Linux maskine, så anvender den ofte færre ressourcer end et typisk Windows system, hvad angår RAM og CPU. Det kan i sidste ende betyde mere overskud til, eks. virtuelle maskiner mv.

^{Min personlige erfaring er, at man kan nå lagt med aflagt udstyr og det kan overaske hvor meget “power” der kan være i en ældre PC med en SSD og Linux!}

Nogle gange er aflagt udstyr ikke godt nok, som f.eks. hvis der skal knokles igennem på en forensic analyse. Det kræver ofte alt det motorkraft du kan få fat i, både på RAM, Harddisk og CPU. Harddisken har i denne her sammenhæng en stor rolle, da der ofte bliver læst og skrevet meget.

Det hardware til formålet

Der kan diskuteres i lang tid hvad der er bedste hardware til formålet. Nedenstående vil jeg give mit bud på hvad jeg lægger vægten på når vi snakker hardware.

Nedenstående eksempler, er det antaget, at det kun er kopier vi arbejder på, det kan ikke understreges nok.

Analyse af filer

Har vi filer som logs eller andet enkelstående data, som vi kan åbne på normal vis. Så vil jeg forsøget at analysere dem med en almindelig computer. Det være sig log filer, mails, billeder, .exe filer (I sandboxed miljø).

Det kræver ikke ret meget at kigge ned i filerne. Det kan man gøre via terminalen til Linux. eksempelvis store mængder af logs, kan en lille Linux computer sagtens tygge sig igennem, og trække det data ud du vil bruge.

Har du en masse mails, som er læst ud via PST, EML mv. Så kan man med fordel trække dem ind i Autopsy og køre “ingestmodulet” e-mail. Det kræver naturligvis at programmet står og arbejder sig igennem. Det er ikke noget en lille PC ikke kan klare.

Så små analyser er ofte væsentlig hurtigere end at starte de store applikationer og virtuelle maskiner.

Analyse af udlæsninger

udlæsninger fra PC, Telefoner er ofte en krævende sag, at analysere på. Da det kræver rigtigt meget kraft af CPU eller Harddisken. Da store mængder af data skal læses igennem af flere gange.

Softwaren man anvender vil ofte have en funktion hvor, det scanner efter eks. kryptering, mails, beregner HASH værdier mv.

Derfor er det formålsberettiget, at man har så meget “krudt i kanonen” som muligt hvis det er noget du skal bruge flere gange om året. Da det kan spare en masse tid, da opgaver af den her art ofte kræver mange timers gennemgang.

Mine udlæsninger jeg har lavet til opgaverne, fylder ikke ret meget og er lavet på helt nye SATA SSD harddiske og har ikke meget data på sig. I modsætning til en harddisk på eks. 4 terabytes eller derover, det kan tage mange timer, om end ikke også dage. Da harddisken er langsommere og der er markant flere data, da den også gemmer på mere slackspace.

Analyse af malware

Skal du analysere på malware, så er en ældre PC med eks. Linux eller Windows faktisk ganske fint. Det eneste den kræver er, at du kan sætte VT-x til i BIOS. Det sikre dig, at du kan anvende computerens ressourcer direkte til hardware. Det eneste du kan “nøjes” med her er, over 8 GB RAM (gerne 16 eller derover) og en SSD harddisk. Så kan man godt køre med en I5 processer fra Intel eller tilsvarende fra AMD.

Det som du skal have ud over en PC, kan være en router, som eks en fra Gl.inet. Da de er små og har VPN mulighed ud af huset.

Jeg har selv haft glæde af en USB til netværks adapter. Som kobles direkte ind i den virtuelle maskine og kan kables ind på netværket, så man undgår data over WiFi (Performance for øje og samtidig, at den ikke selv hopper over til andet WiFi hvis man har arbejdet med flere trådløse net)

Hvornår er nok, nok!

Det er altid det store spørgsmål. Ligesom vi har en risikovurdering / analyse , så kan man bruge lidt samme kalkulering her i forhold til ens behov. Forekomster og sansynlighed for analyse, derfra kan man kigge på vurderingen. Det er klart, det er vurdering fra virksomhed til virksomhed.

Min tommelfingerregel er, jo større behov, jo bedre udstyr, jo hurtigere kan vi måske også klare opgaven (sidste punkt er subjektivt 😉 )

Skal du bruge udstyret til kritiske analyser, så kræver det ofte også at man ikke spare. Da ældre udstyr har risikoen for at gå ned / gå i stykker / bryde sammen. Det kan nyt udstyr også, chancen er antaget mindre.

Er brugt godt nok ?

Som jeg har udtrykt i ovenstående, så det efter er min overbevisning et klart JA.

Her har jeg haft gode erfaringer med refurb og deres udstyr. Til faget har jeg kastet 6.400 kroner efter en HP Zbook G3, hvor jeg har investeret i et nyt batteri, som koster 350 kroner. Det er mange penge ja.

Taget i betragtning, at den har en 512 GB M.2 SSD, 32 GB ram, Xeon processor, nyt batteri og slankt design. Så er prisen faktisk rimelig, sammenlignet med tilsvarende pris i de store elektronikmarkeder i Danmark. Jeg vil vove den påstand (håbe), at den kan holde 3-4 år endnu og stadig have power nok til opgaverne jeg kaster efter den. Nyprisen her, var ved lidt google omtrent 32.000 kroner!

• 

• 

• 

• 

Når du må vælge fra øverste hylde

Godt hardware som kan noget, koster penge… mange penge. Du kan selv vurdere om det er pengene værd. Jeg vil bruge Sumuris Talino som eksempel. Det er workstations som er bygget til formålet og koster også en mindre national formue. De fastholder at godt grej er ikke billigt, men holder længere end en normal PC ville, så derved spare man måske et indkøb. Det som gør dem anderledes er naturligvis indholdet, men også deres specielle design, hvor de adskiller varmeudviklende komponenter fra hinanden og skaber et rum til processorkølingen, som bevirker at de tager toppen af varmeudviklingen og derved slider mindre på komponenterne, efter deres udsagn.

Min holdning er lidt det samme. Jeg har haft PC´ere som har været 8 år og ældre, som har fungeret fint til formålet. Det som har været flaskehalsen er Harddisken og RAM. Det er klart til krævende opgaver, ville jeg gerne have nyere udstyr som kan holde til belastningen.

De nye processorer fra Intel og AMD med flere kerner. Bliver attraktive, da de er gode til at håndtere mange opgaver på samme tid. Eller flere virtuelle maskiner med mange kerner. Priserne følger naturligvis også med. De koster at have det nye.

Hvordan ville jeg skrue en maskine sammen?

Det er et subjektivt spørgsmål, som er svært at svare på. Som en allaround maskine, så ville jeg tage udgangspunkt i nedenstående.

• Intel xeon eller I9 eller AMD threadripper som processor, grundet det høje antal af kerner. Det vigtige her er antallet af kerner.
• 64 gb eller mere ram. Der er forskellige bus hastiheder, jo hurtigere jo bedre set i forhold til hastigheden.
• 1 TB SSD nvme M.2 system disk. 2 TB SSD nvme M.2 lager disk til analyse. 4 TB SATA HDD til lager. Måske en ekstra SSD nvme M.2 lager disk. Hold øje med læse / skrive hastighed, det er ofte det man betaler for, foruden holdbarheden. Der er kommet nye harddiske med super hurtige skrive og læse hastiheder, de kan være pengene værd, hvis du skal analysere på udlæsninger fra PC og telefoner.
• Vandkøling med 3 blæser system og afhængig af kabinet 2-3 120 -140 mm blæsere.
• Strømforsyning 750 watt eller højere, som er af en god kvalitet (læs ikke under 1.000 kroner). Ofte koster en strømforsyning i omegnen af 1.500 til 2.000 kroner for noget der holder.

Ovenstående er kun et oplæg. Det er svært at finde noget der rammer spot on. Prisen på sådan maskine kan variere i prisen, men forvent i omegnene af 20.000 til 40.000 afhængigt hvor stor pengepungen er 🙂