Analisi Forense con software liberi
Indice |
Analisi Forense con software libero
E' una scienza che si occupa di raccogliere, a fini investigativi o giuridici, informazioni memorizzate su supporti digitali, come ad esempio hard disk, penne usb, SD, ecc.
Affinchè le prove ottenute siano valide, le indagini devono essere svolte seguendo alcuni criteri:
non agire mai direttamente sul supporto su cui si deve indagare: in questo caso si procede creando una copia bit a bit del supporto, evitando di permettere ogni tipo di scrittura sul supporto originale;
assicurarsi di avere una copia identica del supporto: questo permette di fare qualsiasi tipo di test sulla copia come se si avesse il supporto originale. Si può avviare il sistema operativo all'interno (se presente) e fare altri test. Per essere sicuri che la copia sia veramente identica si esegue un confronto tra essa e il supporto originale tramite algoritmi di HASH, solitamente MD5 e SHA-1;
documentare in modo chiaro le indagini svolte: occorre esporre una relazione sui metodi e sugli strumenti utilizzati per le indagini, affinchè le eventuali prove che sono state ricavate siano valide.
Gli strumenti software
Servono a svolgere le operazioni più basilari, come la copia di un supporto, l'estrazione dei file (cancellati e non) e così via. Di seguito vengono elencati gli strumenti liberi che si possono utilizzare:
dd: tool a riga di comando che permette di fare la famosa copia bit a bit di un supporto. E' certificato per svolgere questo tipo di operazione, perciò è uno strumento "accettato" da chi ascolterà l'esito dell'indagine.
sfdumper: semplice tool per la ricerca di file dando come input il tipo (.jpg, .doc, ...).
Gli strumenti hardware
Sono strumenti che vengono in aiuto per evitare di rovinare, anche solo di poco, le prove.
Una prova modificata non è più valida!
Tra questi strumenti hardware troviamo:
Write Blocker: sono connettori da porre tra il supporto e il connettore originale, ad esempio tra l'hard disk e il connettore IDE sulla scheda madre. Questo dispositivo permette di utilizzare il disco in sola lettura, ed è un'ulteriore garanzia quando si passa a fare l'immagine del disco (non è una barzelletta, ma si narra che qualcuno ogni tanto fa la copia di un disco vergine su quello contenente le prove!!!).
Stenografia
E' l'arte di nascondere informazioni dentro altre informazioni!
L'esempio classico è nascondere testi dentro un'immagine e lo si può fare con outguess. L'immagine sarà comunque visualizzabile senza modifiche apparenti, ma al suo interno ci saranno altre informazioni testuali cifrate.
Per estrarre queste informazioni bisogna prima capire che ci sono e poi fare un brute-force per tentare di indovinare la password.
Il software in questione è stegdetect.
Crittografia
Non voglio dilungarmi nello spiegare questo argomento, poichè c'è già su Wikipedia a questo indirizzo.
Il software libero più utilizzato per queste operazioni credo sia proprio TrueCrypt. Per l'informatica forense è un muro invalicabile, poichè non c'è modo di risalire alla password. Permette di crittografare un file, una partizione o un intero disco. Quando viene montato il file/partizione/disco con la password corretta, si può sfogliare il contenuto come se fosse una partizione a sè stante. La password digitata viene salvata in RAM, ma anche lì viene crittografata, perciò chi pensava di ovviare al problema cercando qualcosa in RAM non può farci niente.
Altra caratteristica interessante è che, se qualcuno vi dicesse la sua password perchè costretto con maniere forti, non siete sicuri che la password fornita sia quella corretta, perchè potreste aver montato un hidden disk, cioè una partizione crittografata fasulla. TrueCrypt infatti, al momento della cifratura del vostro file/partizione/disco, vi chiede 2 password e la seconda serve per montare una piccola parte della partizione con dati da voi scelti. I dati da tenere realmente segreti possono essere accessibili usando un'altra password e non ci sono modi per capire se la partizione montata sia quella "corretta"
Distro per il forensis computing
