Analisi Forense con software liberi
Da Blah Hacklab, GNU/Linux e software libero - Megliadino San Fidenzio (Padova).
Indice |
Analisi Forense con software libero
E' una scienza che si occupa di raccogliere, a fini investigativi o giuridici, informazioni memorizzate su supporti digitali, come ad esempio hard disk, penne usb, SD, ecc.
Affinchè le prove ottenute siano valide, le indagini devono essere svolte seguendo alcuni criteri:
non agire mai direttamente sul supporto su cui si deve indagare: in questo caso si procede creando una copia bit a bit del supporto, evitando di permettere ogni tipo di scrittura sul supporto originale;
assicurarsi di avere una copia identica del supporto: questo permette di fare qualsiasi tipo di test sulla copia come se si avesse il supporto originale. Si può avviare il sistema operativo all'interno (se presente) e fare altri test. Per essere sicuri che la copia sia veramente identica si esegue un confronto tra essa e il supporto originale tramite algoritmi di HASH, solitamente MD5 e SHA-1;
documentare in modo chiaro le indagini svolte: occorre esporre una relazione sui metodi e sugli strumenti utilizzati per le indagini, affinchè le eventuali prove che sono state ricavate siano valide.
Gli strumenti software
Servono a svolgere le operazioni più basilari, come la copia di un supporto, l'estrazione dei file (cancellati e non) e così via. Di seguito vengono elencati gli strumenti liberi che si possono utilizzare:
dd: tool a riga di comando che permette di fare la famosa copia bit a bit di un supporto. E' certificato per svolgere questo tipo di operazione, perciò è uno strumento "accettato" da chi ascolterà l'esito dell'indagine.
sfdumper: semplice tool per la ricerca di file dando come input il tipo (.jpg, .doc, ...).
Gli strumenti hardware
Sono strumenti che vengono in aiuto per evitare di rovinare, anche solo di poco, le prove.
Una prova modificata non è più valida!
Tra questi strumenti hardware troviamo:
Write Blocker: sono connettori da porre tra il supporto e il connettore originale, ad esempio tra l'hard disk e il connettore IDE sulla scheda madre. Questo dispositivo permette di utilizzare il disco in sola lettura, ed è un'ulteriore garanzia quando si passa a fare l'immagine del disco (non è una barzelletta, ma si narra che qualcuno ogni tanto fa la copia di un disco vergine su quello contenente le prove!!!).
