Strumenti software per le attività di Digital Forensic

Strumenti software per le attività di Digital Forensic

Strumenti software per le attività di Digital Forensic

Il famoso software EnCase

Il software che ad oggi è quello più utilizzato per l’analisi delle tracce informatiche è EnCase, destinato all’uso professionale ed investigativo (digital forensics) da numerose agenzie e forze dell’ordine in tutto il mondo e considerato in linea con gli standard internazionali, infatti EnCase® Forensics è il tool più utilizzato nelle procedure di investigazione informatica da parte di organizzazioni governative e forze dell’ordine a livello mondiale. Tra le sue caratteristiche principali troviamo una evoluzione del supporto per l’analisi di email, nei formati PST, DBX, AOL, MBOX e web-mail (Yahoo, Hotmail e Netscape), la possibilità di navigazione delle pagine HTML presenti nella cache ed accesso dettagliato ai log di navigazione, con un supporto migliorato per i browser che stanno rapidamente crescendo di popolarità, come Mozilla Firefox, Opera e Apple Safari, l’aggiunta del tool “Linen” (Linux for EnCase), per acquisizione e ricerca in ambiente Linux e un motore di acquisizione potenziato nel caso particolare di drive con settori danneggiati

Ma le critiche più frequenti mosse ad EnCase riguardano la scelta della Guidance Software di non rendere visibile il codice sorgente del programma. Infatti al fine di garantire la  completa trasparenza, indipendenza e verificabilità delle tecnologie delle operazione di rilevazione delle prove sarebbe opportuno utilizzare un software con codice open-source. Altre critiche mosse nei riguardi di questo software derivano dalle seguenti considerazioni:

  • Il numero di file system supportati è ancora limitato; EnCase supporta i file system più comuni trascurandone molti altri, come ad esempio: reiser, ext3, jfs, ufs, hfs, hfs+, veritas.
  • La varietà di formati dei file di evidence riconosciuti da EnCase è piuttosto limitata, esistono altri tool decisamente più potenti che riescono ad ovviare a questo problema.
  • In aggiunta alla firma digitale, al fine di migliorare l’autenticità delle prove fornite attraverso l’utilizzo del software, si è molto discusso sulla necessità di utilizzare un ulteriore strumento di validazione, il time-stamping.
  • Il costo del software è abbastanza eccessivo. In alternativa ad EnCase esistono software meno “famosi” capaci di supportare la maggior parte delle operazioni di computer forensic, ad un prezzo decisamente più competitivo.

Altri strumenti software per le attività di Digital Forensic

Iritaly (Incident Response Italy)

Iritaly (Incident Response Italy) nasce nel 2003, presso il Polo Didattico e di Ricerche di Crema il progetto IRItaly, sviluppato sotto la direzione del Prof. Dario Forte. La versione base, destinata all’acquisizione delle immagini dei sistemi da analizzare, dispone di tutti gli strumenti, diventati ormai standard in questi tipi di distrubuzioni, si va quindi da ddflcd, una versione migliorata del classico comando dd, alla sua GUI (interfaccia grafica) denominata AIR (nello screenshot). IRItaly Livecd versione base può vantare la presenza tra i propri tool anche del recentissimo Aimage per l’acquisizione di immagini forensi secondo il nuovo standard Advanced Forensic Format. E’ inoltre disponibile il tool TcpDum per l’acquisizione del traffico di rete.

FIRE (Forensic and Incident Response Environment)

Progetto nato nel 2002 è giunto attualmente alla versione 0.3.5. A detta di molti utenti la distribuzione non si distingue per usabilità, sebbene sia stata ricercata una buona compatibilità garantendo, oltre alla modalità grafica gestita da FluxBox, anche la possibilità di operare via shell con comodi menù. FIRE dispone di GUI per Windows e di binari statici per Windows, Linux e solaris. I tools accessibili attraverso il menù grafico coprono la virus e rootkit detection, acquisizione e analisi di network e media. Sicuramente di una distribuzione leggera ed essenziale.

Helix

Helix vede la luce nel febbraio 2003 in seno alla Efense Inc., azienda impegnata nell’informatica forense e nel primo intervento a seguito di incidenti informatici. La distribuzione basata su Knoppix, attualmente alla versione 1.7 07032006, si distingue per un desktop, basato sul window manager Xfce, assai curato. Tutti i tools sono implementati nel ricco menù, dove l’utente ha solo l’imbarazzo della scelta. Se tale ricchezza di software ne fanno da una parte quasi una distribuzione live per l’utente normale, dall’altro la rendono piuttosto pesante, andando ad incidere pesantemente sulle risorse di RAM e CPU delle macchine ospiti. Inoltre la compatibilità con periferiche audio e video non è assoluta e anche l’installazione su hard disk non è priva di rischi. E’  al momento l’unica distribuzione ad implementare i programmi Writer, Calc e Impress della suite OpenOffice 2 consentendo l’immediata visione dei più comuni files realizzati con Microsoft Office. Si differenzia inoltre da altre versioni per l’assenza di strumenti per la cattura del traffico di rete e l’auditing delle vulnerabilità. Il Bootable Cd contiene una GUI per l’ambiente Windows, i binari statici per Linux e Solaris e una copiosa documentazione.

PHLAK (Professional Hacker’s Linuk Assault Kit)

PHLAK (Professional Hacker’s Linuk Assault Kit) è l’unica distribuzione in esame ad essere basata su Morphix, distribuzione Linux estremamente modulare. L’ambiente desktop è anche in questo caso il leggero Xfce, o in alternativa FluxBox. La distribuzione riconosce con facilità anche le schede audio e video di portatili  datati, garantendo una buona compatibilità, è inoltre possibile installarla con facilità sull’hard disk, riconoscendo sistemi operativi già installati, senza alcun problema al boot. Phlak dispone di tools per la computer e la network forensic, che sono però in minima parte avviabili via menù grafico, avendo gli sviluppatori preferito il lancio per linea di comando.

BackTrack

BackTrack è la nuova distribuzione sostenuta e sviluppata da Remoteexploit.org, l’unica tra quelle prese in esame basata su Slackware. Nasce dalla fusione di Auditor e Whax, due distribuzioni volte all’IT security. L’ambiente desktop è KDE, dal cui menù si può avviare tutti i numerosi tools. L’ambiente grafico deve essere avviato su richiesta dell’utente, con il comando “startx”, dopo la fase di boot. Tuttavia la distribuzione non presenta una perfetta compatibilità con l’hardware disponibile.

La sfida dell’Open Source nel Digital Forensic

Consigliare l’uso di un software Closed Source è cosa abbastanza semplice, per i motivi descritti; consigliarne uno Open Source è una sfida dalla quale dobbiamo imparare tanto, innanzi tutto se siamo in grado di attendere alle aspettative di chi ci chiede di effettuare un’attività di acquisizione o di analisi; inoltre si possono imparare nuove metodologie oppure possiamo scoprire che vi sono mille modi diversi per risolvere i problemi posti.

 

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

2 Risposte a “Strumenti software per le attività di Digital Forensic”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *