Nel panorama degli strumenti di digital forensics, molti strumenti commerciali sono efficienti e comodi, ma spesso costosi. Questo articolo illustra un percorso di acquisizione e analisi effettuato con strumenti gratuiti o open source, su sistemi operativi Gnu/Linux e Windows.
Fase di Acquisizione dei Dati con Software Freeware
Per l'acquisizione forense su Gnu/Linux e Windows OS, si possono utilizzare CAINE (gnu/linux) e Windows. Gli strumenti includono fdisk, mounter, Guymager e FTK Imager.
Colleghiamo il disco sorgente a un computer con CAINE installato o avviamo la live distro sulla macchina contenente il disco da acquisire. Tramite fdisk -lu o l'applicazione "mounter", individuiamo il disco sorgente (es. /dev/sdb) e il disco di destinazione (es. /dev/sdc). Montiamo in scrittura il disco di destinazione senza intervenire sul disco sorgente.
Copia Forense del Disco con GuyMager
Lanciamo GuyMager per effettuare la copia forense, scegliendo gli algoritmi di hash e il formato d'uscita: raw (dd) o EWF (Expert Witness Format). Il formato raw è una copia bit a bit senza compressione, mentre EWF effettua una compressione per risparmiare spazio.
Copia Tramite Rete: Utilizzo di vbladed e aoe
Se è necessario creare il file immagine su un computer in rete LAN, possiamo usare il montaggio del disco in rete tramite vbladed e aoe (ATA OVER ETHERNET), oltre al classico dd e netcat.
Esempio di DD e NETCAT in Azione
DD invia i bytes di /dev/sdb all’indirizzo IP della macchina di destinazione in ascolto sulla porta 2000, tramite netcat. In ambiente Windows si consiglia FTK Imager + write blocker hardware per le copie forensi e per le preview o il dump della RAM.
Fase di Analisi dei Dati con Software Open Source
Gli strumenti di analisi su CAINE OS includono TSK, XALL, Photorec e XMOUNT. XALL è uno script bash che sfrutta TSK (The SleuthKit) e Photorec.
Data Carving con Photorec
Photorec (data carving) lavora sul file immagine in formato RAW (dd), ottenuto tramite XMOUNT dal file EWF originale, solo sul freespace (spazio non allocato). Ad esempio:
photorec lexar.dd
Possiamo personalizzare la ricerca lavorando solo sul freespace ed escludendo formati non desiderati come .exe e .dll. Inoltre, possiamo scegliere su quali partizioni agire.
Il numero 6533120 è il settore d’inizio della partizione oggetto d’analisi, lo dobbiamo moltiplicare per 512 bytes (la dimensione del singolo settore), per avere l’offset in bytes d’inizio partizione.
Analisi delle Shadow Copies in Ambiente Windows
In Windows, possiamo usare ARSENAL IMAGE MOUNTER per montare le partizioni nel file immagine e ShadowCopyView di Nirsoft per consultarle ed esportare dati.
Indicizzazione dei File Estratti
Dopo aver estratto i file, è utile indicizzarli e metterli su un database per facilitare le ricerche per parole chiave. In ambiente Windows, si può usare DTSearch. Log2Timeline può essere utile per creare una timeline basata sui timestamp di file system e metadati.
Virtualizzazione con VirtualBox
Virtualizziamo il sistema presente nel file immagine del disco in analisi con VirtualBox per riprodurre l'ambiente di lavoro del computer originale. Questo permette di usare strumenti free (es. Nirsoft, Sysinternals) sul sistema in esecuzione e visualizzare il tutto più comodamente.
Esportazione della Macchina Virtuale in Formato OVA
La macchina virtuale può essere esportata in formato OVA utilizzando VirtualBox, per poterla lavorare su altri sistemi dove abbiamo Virtual Machine Players.
Strumenti di Analisi dei Registri
Per l'analisi dei registri sia in ambiente Windows sia in Linux, si utilizza RegRipper.
Caratteristiche di AUTOPSY per Windows
AUTOPSY per Windows è un framework che permette una visione, analisi e classificazioni delle informazioni in modo semplice, organizzato e confortevole. Ha un motore di indicizzazione per stringhe. Nonostante sia un po’ lento, è in costante evoluzione e utile per avere una panoramica complessiva dei dati estratti e analizzati con vari tool. Il confronto dei risultati tra tool differenti è sempre consigliabile!
Tabella Comparativa Strumenti Forensi Open Source
| Strumento | Sistema Operativo | Funzionalità Principale |
|---|---|---|
| CAINE | Gnu/Linux | Distribuzione live per digital forensics |
| Guymager | Gnu/Linux | Acquisizione di immagini forensi |
| FTK Imager | Windows | Acquisizione e preview di immagini forensi |
| TSK (The Sleuth Kit) | Gnu/Linux | Analisi forense di file system |
| Photorec | Gnu/Linux, Windows | Data carving e recupero file |
| XMOUNT | Gnu/Linux | Montaggio di immagini forensi |
| VirtualBox | Multi-piattaforma | Virtualizzazione di sistemi operativi |
| RegRipper | Windows, Linux | Analisi dei registri di sistema |
| AUTOPSY | Windows | Framework per l'analisi forense |
Tra Linux e Windows ci sono tantissimi tool freeware, open source gratuiti, che permettono una serie di analisi ed anche comparazione dei risultati. Sicuramente bisogna cercarli, provarli, confrontarli, unire i risultati in un’unico report, alcuni sono scomodi, ma ci permettono di effettuare un’analisi informatica senza necessariamente avere delle macchine potentissime e sopportare dei costi elevati, ma la cosa più importante è la versatilità, poter scegliere varie soluzioni ed approcci, il confronto, la ricerca e spesso grazie a questi strumenti si comprendono meglio anche alcuni meccanismi e sistemi informatici, questo rende l’investigatore informatico più “intimo” con quello che sta analizzando.
Non meno importante è che l’uso dell’open source garantisce tutto il percorso del trattamento dei dati, si sa cosa entra, si sa come viene elaborato e si sa cosa esce, proprio perché il codice è aperto, quindi tutto è tracciabile, diversamente se un software commerciale fornisce alcuni risultati, non possiamo sapere che tipo di elaborazione ha fatto, dato che non siamo in possesso del codice sorgente, pertanto a livello di pura metodologia scientifica l’open source è più aderente rispetto al commerciale.
Indubbiamente, se si impara a navigare col sestante e le stelle, nulla vieta di evolversi usando un bel navigatore GPS magari in 3D su una barca di lusso, tanto se qualsiasi cosa dovesse andar storto, abbiamo sempre le competenze per tornare a terra, possiamo dire ugualmente di chi impara direttamente sulla barca di lusso?
Concludendo, sì ai software commerciali belli e performanti, anche perché senza di loro alcuni casi con grandi e diverse moli di dati, diventano ingestibili con open source e tool gratuiti, ma non dimentichiamo che, anche svolgere un caso usando tanti tool ed incastrare i risultati tra loro, sapendo che tutto può essere ripetuto da qualsiasi altro analista, perché tutto è fatto con strumenti liberi, è anche una gran bella soddisfazione.
leggi anche:
- Gestionale Laboratorio Analisi: Software per Ottimizzare il Tuo Laboratorio
- Laboratorio Analisi Sambuca: Contatti, Orari e Servizi Offerti
- Laboratorio Analisi San Felice Colle Prenestino: Servizi e Orari
- Ecografia Addome Completo: Cosa Non Si Vede e Alternative Diagnostiche
- Risonanza Magnetica Multiparametrica della Prostata: Scopri Costi, Procedura Dettagliata e Come Prenotare Subito!