Analisi Forense con software liberi
Da Blah Hacklab, GNU/Linux e software libero - Megliadino San Fidenzio (Padova).
Indice |
[modifica] Analisi Forense con software libero
E' una scienza che si occupa di raccogliere, a fini investigativi o giuridici, informazioni memorizzate su supporti digitali, come ad esempio hard disk, penne usb, SD, ecc.
Affinchè le prove ottenute siano valide, le indagini devono essere svolte seguendo alcuni criteri:
non agire mai direttamente sul supporto su cui si deve indagare: in questo caso si procede creando una copia bit a bit del supporto, evitando di permettere ogni tipo di scrittura sul supporto originale;
assicurarsi di avere una copia identica del supporto: questo permette di fare qualsiasi tipo di test sulla copia come se si avesse il supporto originale. Si può avviare il sistema operativo all'interno (se presente) e fare altri test. Per essere sicuri che la copia sia veramente identica si esegue un confronto tra essa e il supporto originale tramite algoritmi di HASH, solitamente MD5 e SHA-1;
documentare in modo chiaro le indagini svolte: occorre esporre una relazione sui metodi e sugli strumenti utilizzati per le indagini, affinchè le eventuali prove che sono state ricavate siano valide.
[modifica] Gli strumenti software
Servono a svolgere le operazioni più basilari, come la copia di un supporto, l'estrazione dei file (cancellati e non) e così via. Di seguito vengono elencati gli strumenti liberi che si possono utilizzare:
dd: tool a riga di comando che permette di fare la famosa copia bit a bit di un supporto. E' certificato per svolgere questo tipo di operazione, perciò è uno strumento "accettato" da chi ascolterà l'esito dell'indagine.
sfdumper: semplice tool per la ricerca di file dando come input il tipo (.jpg, .doc, ...).
[modifica] Gli strumenti hardware
Sono strumenti che vengono in aiuto per evitare di rovinare, anche solo di poco, le prove.
Una prova modificata non è più valida!
Tra questi strumenti hardware troviamo:
Write Blocker: sono connettori da porre tra il supporto e il connettore originale, ad esempio tra l'hard disk e il connettore IDE sulla scheda madre. Questo dispositivo permette di utilizzare il disco in sola lettura, ed è un'ulteriore garanzia quando si passa a fare l'immagine del disco (non è una barzelletta, ma si narra che qualcuno ogni tanto fa la copia di un disco vergine su quello contenente le prove!!!).
