Post

Visualizzazione dei post da 2006

STORIA DI UN'INDAGINE FORENSE INFORMATICA - PARTE 2 L'ANALISI

Torniamo in laboratorio con il nostro hard disk pieno, lì dentro ci aspetta un file, image.img, di 80Gb, un mostro, che deve essere masterizzato per farne una copia di sicurezza da dare agli inquirenti. Stiamo per affrontare ancora lunghi tempi di attesa, prima di scatenarci con l'analisi, la ricerca di quello che ci hanno incaricato di trovare. Se l'hard disk esterno è stato formattato in Ext3, nonostante i driver EXT2FSD per Windows, che permettono la scrittura su HD EXT3 e EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho provato che la lettura e scrittura di grosse moli di dati genera errori di lettura dopo un pò di ore...mandando all'aria tutto il resto dei files generati con WinRar o con Winzip. (In pratica la lettura da Windows di un HD EXT3 non è perfetta.) Quindi facciamo un boot da Helix e da terminal root scriviamo: gzip -N -C -9 /media/sda1/image.img > /media/sda1/zip/image.gz Il paramentro -N serve a mantenere il nome file ed il times

Storia di un'analisi forense informatica

La scienza forense applicata all'informatica è ancora una materia giovane ed in via di sviluppo, ma specialmente al costante inseguimento della tecnologia. Infatti i computer crescono di numero e di capacità, gli hard disk sono sempre più grandi e le memorie si sprecano in vari dispositivi, dai cari floppy disk ai DVD, alle USB Flash Memory, alle memory card,  ai cellulari ecc. ecc. L'autorità Giudiziaria, spesso non riesce a star dietro a tutto questo ed inoltre non sa come comportarsi  di fronte a dei dati così facilmente alterabili e, a volte, deperibili, quindi è compito degli investigatori del futuro adottare un protocollo comune di repertaggio, custodia ed analisi dei dati. La scelta comune degli strumenti di repertaggio è caduta sull'Open Source Software, ossia tutti quei programmi il cui codice è disponibile al pubblico, in modo tale da non poter sollevare il "ragionevole dubbio", che il programma  di acquisizione o analisi faccia cose strane, no

Analisi computer forensics con Windows

Immagine
PREMESSA : QUESTO è un taccuino scritto all'inizi del mio interesse per la COMPUTER FORENSCIS.... però ritengo interessante pubblicarlo lo stesso   Ecco come sarebbe stato se avessi avuto un hard disk da analizzare  Ho cancellato la partizione del mio hard disk esterno, collegato al portatile con cavo usb.  Ho perso tutti i dati, naturalmente, quindi non mi rimaneva che formattare l'hard disk, ma ho pensato di simulare l'acquisizione di un hard disk simile.  Ho subito lanciato il comando:  dd.exe if=\\.\E: of=\\forensics\images\image.dd conv=noerror --md5sum --verifymd5 --md5out=\\forensics\images\image.dd.md5 --log=\\forensics\images\audit.log   così creo l'immagine del disco E e scrivo la firma MD5.  La stessa cosa la potevo fare usando il più intuitivo software  FTK Imager  (che fa sempre parte della distribuzione Helix Knoppix) che firma il file immagine con MD5 e Sha1 (la sicurezza non è mai troppa).  A questo punto ho provato a lanciare il programma foremost:  for

Elementi di computer forensics

Immagine
Salve a tutti, la computer forensic e l'incident response...queste due discipline così affascinanti e misteriose. La domanda è: come si fa a diventare un investigatore informatico? Bhè da quello che ho capito ci sono soltanto due modi: 1) iscriversi all'albo dei periti informatici (attenzione periti e non ctu) cioè i tecnici del tribunale PENALE e non civile (cause civili con repertamento di prove informatiche sono rarissime). 2) essere chiamati come CTP (Consulenti tecnic di parte) da qualche vostro amico avvocato penalista. 3) The last but least (non è un errore è voluto)   studiare e procurarsi i software e gli hardware per fare la professione del criminologo informatico. Il punto dolente è, che se ci procuriamo o software e gli hardware, studiamo, ci esercitiamo ecc. si rischia di rimanere anni ed anni senza mai fare nulla, perchè se il punto 1) non dà risultati difficilmente sarete chiamati da qualcuno. Per quanto riguarda il punto 3) i mezzi per iniziare gratis