Post

Visualizzazione dei post da Aprile, 2006

STORIA DI UN'INDAGINE FORENSE INFORMATICA - PARTE 2 L'ANALISI

Torniamo in laboratorio con il nostro hard disk pieno, lì dentro ci aspetta un file, image.img, di 80Gb, un mostro, che deve essere masterizzato per farne una copia di sicurezza da dare agli inquirenti. Stiamo per affrontare ancora lunghi tempi di attesa, prima di scatenarci con l'analisi, la ricerca di quello che ci hanno incaricato di trovare. Se l'hard disk esterno è stato formattato in Ext3, nonostante i driver EXT2FSD per Windows, che permettono la scrittura su HD EXT3 e EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho provato che la lettura e scrittura di grosse moli di dati genera errori di lettura dopo un pò di ore...mandando all'aria tutto il resto dei files generati con WinRar o con Winzip. (In pratica la lettura da Windows di un HD EXT3 non è perfetta.) Quindi facciamo un boot da Helix e da terminal root scriviamo: gzip -N -C -9 /media/sda1/image.img > /media/sda1/zip/image.gz Il paramentro -N serve a mantenere il nome file ed il times

Storia di un'analisi forense informatica

La scienza forense applicata all'informatica è ancora una materia giovane ed in via di sviluppo, ma specialmente al costante inseguimento della tecnologia. Infatti i computer crescono di numero e di capacità, gli hard disk sono sempre più grandi e le memorie si sprecano in vari dispositivi, dai cari floppy disk ai DVD, alle USB Flash Memory, alle memory card,  ai cellulari ecc. ecc. L'autorità Giudiziaria, spesso non riesce a star dietro a tutto questo ed inoltre non sa come comportarsi  di fronte a dei dati così facilmente alterabili e, a volte, deperibili, quindi è compito degli investigatori del futuro adottare un protocollo comune di repertaggio, custodia ed analisi dei dati. La scelta comune degli strumenti di repertaggio è caduta sull'Open Source Software, ossia tutti quei programmi il cui codice è disponibile al pubblico, in modo tale da non poter sollevare il "ragionevole dubbio", che il programma  di acquisizione o analisi faccia cose strane, no