Santoku : la déception

Une distribution basée sur Ubuntu et orientée mobile forensics a vu le jour récemment. Malheureusement, ce premier essai est une déception.

La distribution se présente comme une distribution orientée mobile forensics, sécurité mobile et analyse de malware. A première vue, elle semble plutôt prometteuse. En effet, la page indiquant les différents outils disponibles dans cette distribution laissait entrevoir quelque chose qu’on attendait depuis un moment : une distribution majoritairement tournée vers la forensic mobile, permettant de retrouver des fichiers, de les lire, de les analyser, de les décompiler, en bref, la combinaison de plusieurs outils en une seule distribution clef en main.

Cette même page classe les outils en cinq familles :

-          Outils de développements,

-          Reverse Engineering,

-          Tests de pénétration,

-          Analyse de réseaux sans fil,

-          Device Forensics et

-          Infrastructure mobile.

En regardant la liste, on voit que certains outils, très recherchés, comme Paraben, sont présents. Paraben est un outil de forensics mobile qui permet d’extraire l’ensemble des informations contenu, que ce soit dans un téléphone portable ou un smartphone. L’entreprise qui commercialise ce produit en a fait sa spécialité. Le seul souci étant que l’outil de forensics mobile est très cher et que l’obtention d’une version de démonstration est soumise à vérification : si vous ne faites pas partie d’une organisation gouvernementale ou des services de police, votre demande sera refusée.

Donc, en découvrant que Paraben figurait dans cette distribution, de même que des outils dédiés à BlackBerry, on fonce télécharger l’iso et on se crée une VM afin de pouvoir l’examiner d’un peu plus près. Si vous vous intéressez à la forensic mobile, vous savez certainement que si on trouve quelques outils très intéressants pour Android et iPhone, les outils dédiés à BlackBerry sont plutôt rares. Le fait de découvrir une distribution qui propose des outils forensics dédiés à BlackBerry était donc une bonne nouvelle.

Première déception, le démarrage est lent.

Deuxième déception : en essayant d’utiliser les outils intéressants dont Paraben, on voit s’ouvrir un terminal énonçant que les outils ne sont ni libres open-source et qu’il faut les télécharger et les installer sur une machine sous Windows, ce qui est un comble pour une distribution basée sur Ubuntu.

Même chose pour les outils forensics dédiés à BlackBerry et pour certains outils dédiés à l'iPhone.

Troisième déception : les seuls outils qui ont été correctement installés et configurés sont ceux qui font partie depuis longtemps des distributions Linux orientées sécurité, comme BackTrack.

Par ailleurs, que ce soit Wireshark, W3af ou Kismet ne sont pas spécifiquement tournés ni vers l’analyse de malwares ni vers le mobile forensics alors que cela est annoncé comme la spécificité de cette distribution.

Autre point que l'on peut trouver ridicule : la mention de SIFT qui est un outil qui nécessite d'installer SANS, dans une VM.

Enfin Eclipse IDE a carrément fait geler la machine virtuelle.

Le site de Santoku ne donne que très peu d’indications sur la distribution. Par exemple, le mot de passe nécessaire pour d’identifier lors du démarrage n’est indiqué que dans la FAQ et non dans la rubrique téléchargement ni dans le forum. Quant à ce dernier, il est quasiment vide. Il n’y a pas de wiki et le seul tutoriel fourni concerne justement l’installation de la distribution sur une machine virtuelle.

On tempèrera les propos précédents en soulignant qu’il s’agit d’une version Alpha. Mais il est très dommageable –même en version Alpha – d’annoncer sur une page qu’une distribution propose des outils, pour au final découvrir qu’ils ne sont pas disponibles. Par ailleurs, les outils qui auraient pu paraître innovants sont déjà inclus dans la distribution SANS.

Une distribution à éviter pour le moment.