Firefox forensics

Forensics jellegű munkáknál alapvető (ám nem mindig kimondott) követelmény, hogy a helyszínre megérkezve azonnal elő tudjunk venni néhány olyan eszközt, amellyel rövid idő alatt nagy mennyiségű információt tudunk kinyerni a kompromittált, illetve a vizsgálatok során fókuszba kerülő rendszerekről.

Felhasználók munkaállomásai esetében legtöbbször nagyon jó képet lehet alkotni a felhasználó(k)ról pusztán a böngészők által tárolt, megjegyzett adatok alapján. Következtetni lehet a felhasználó bönégszési, levelezési szokásaira, érdeklődési körére,... Hasznos emiatt, ha van az eszköztárban egy olyan eszköz, amely különösebb beállítás, telepítés nélkül kinyeri az összes információt, ami a böngészővel kapcsolatos: a Firefox Forensics zseniális kis eszköze, a Firefox3 Extractor tökéletes választás.

A Firefox3 egyik legnagyobb újítása az, hogy az összes, a felhasználóval kapcsolatos adatot (browsing history, formok elmentett értékei, jelszavak, letöltési előzmények stb.) SQLite adatbázisban tárolja. A Google Chrome a másik olyan böngésző, amely szintén ilyen megoldással dolgozik, így az eszköz a Chrome előzményeihez is biztosít támogatást (igaz, hogy erősen experimental állapotú a bejegyzés időpontjában).

Hol találhatóak maguk az adatbázisok? Linux/Solaris alatt a ~/.mozilla/firefox/{profile folder}/, Windows XP esetében a C:\Documents and Settings\{user id}\Application Data\Mozilla\Firefox\Profiles\{profile folder}\, Vista alatt C:\Documents and Settings\{user id}\AppData\Roaming\Mozilla\Firefox\Profiles\{profile folder}.

A F3E használata triviális: a könyvtárakban elindítva csv, illetve HTML fájlokat generál, amelyekben időbélyegekkel együtt kidumpolja a firefox által készített adatokat. A készítők szerint Linux alatt is működik wine-vel, emiatt nem jelenthet gondot forensic célú linux disztribúciókkal, pl. a Helix-szel történő integrálás.