Analisi forense dei filesystem.
Mauro Goretti - Programmatore. |
Analisi forense dei filesystem.
SleuthKit Mettete da parte polvere per le impronte digitalie lente d’ingrandimento e provate invece questa utility.
L’analisi forense è un settore
dell’informatica che si occupa delle
tecniche di recupero delle prove
di reato da computer e altri sistemi informatici.
I reati possono essere violazioni da parte
di attaccanti esterni provenienti da Internet
o dalla rete locale, accesso non autorizzato
a informazioni riservate, spionaggio industriale,
frodi. L’analisi forense inoltre può essere richiesta
nel caso di reati che non abbiano come oggetto
dei sistemi informatici, ma semplicemente per
ricostruire le attività di un soggetto, presunto
autore o complice del reato, che si suppone
abbia fatto uso di un computer o di altri sistemi
informatici. I dischi rigidi, con le loro partizioni
e i filesystem su di esse, sono l’oggetto principale
dell’attenzione di un analista forense: i fi le creati
e cancellati dagli utenti e le informazioni scritte
dal sistema operativo nei fi le di registro e di log
permettono infatti di ricostruire quasi tutta
l’attività svolta dal sistema in esame. SleuthKit
(www.sleuthkit.org) è un insieme di strumenti
che permettono l’analisi dettagliata dei filesystem
di macchine che sono state violate o che
si sospetta possano contenere informazioni
non appropriate. Sono in grado di analizzare
filesystem NTFS, FAT, HFS+, Ext2, Ext3, UFS1
e UFS2. Il pacchetto fornisce una libreria C
e circa 25 strumenti a riga di comando con le
relative pagine di manuale. Autopsy è un frontend
grafico per questi programmi. Sleuthkit è in
grado di eseguire una dead analysis, in cui viene
usato un sistema di analisi per esaminare il disco,
o una sua immagine, di un sistema sospetto. In
alternativa è possibile eseguire una live analysis,
analizzando il sistema sospetto mentre è attivo.
In questo caso Autopsy e SleuthKit vengono
eseguiti da un CD in un ambiente non affidabile.
Questo metodo viene spesso usato durante un
incident response per confermare che qualcosa
di strano si sta effettivamente verificando. Una
volta accertata l’anomalia, il sistema può essere
acquisito fi sicamente per eseguire una dead
analysis. Il linguaggio usato da Autopsy riflette
la serietà di questo genere di lavoro. Viene aperto
un caso, vengono definiti gli investigatori e i risultati
vengono conservati in un armadietto delle prove.
È possibile eseguire ricerche di testo sull’immagine
di un filesystem, anche nei frammenti dei file
cancellati. È possibile generare un diagramma
temporale dell’attività dei filesystem, anche nel
caso di incidenti che riguardino più di un sistema.
È possibile verifi care il checksum MD5 dei file
confrontandoli con quelli contenuti in un database
di file “buoni” o di file “cattivi”. Sleuthkit non
automatizza il processo delle indagini forensi,
ma mette a disposizione alcuni degli strumenti
che sono necessari per compiere il lavoro.
Commenti
Posta un commento
Ciao a tutti voi, sono a chiedervi se avete preferenze per Post di vostro interesse
in modo da dare a tutti voi che mi seguite un aiuto maggiore, grazie per la vostra disponibilità.