Introduzione
I computer sono una fonte vitale di prove forensi per un numero crescente di reati. Mentre il crimine informatico è cresciuto costantemente negli ultimi anni, anche i criminali tradizionali usano i computer come parte delle loro operazioni. La capacità di estrarre in modo affidabile informazioni forensi da queste macchine può essere vitale per catturare e perseguire questi criminali.
Gli strumenti di informatica forense sono progettati per garantire che le informazioni estratte dai computer siano accurate e affidabili. A causa della grande varietà di tipi diversi di prove basate su computer, esistono diversi tipi di strumenti di computer forensics, tra cui:
- Strumenti di acquisizione dati e dischi
- Visualizzatori di file
- Strumenti di analisi dei file
- Strumenti di analisi del registro di sistema
- Strumenti di analisi strumenti
- Strumenti di analisi delle e-mail
- Strumenti di analisi dei dispositivi mobili
- Strumenti forensi di rete
- Strumenti forensi di database
In ogni categoria, esiste un certo numero di strumenti diversi. Questa lista delinea alcuni degli strumenti di computer forensics più usati.
Strumenti di cattura di dischi e dati
Gli strumenti forensi di cattura di dischi e dati si concentrano sull’analisi di un sistema e sull’estrazione di potenziali artefatti forensi, come file, e-mail e così via. Questa è una parte fondamentale del processo di computer forensics e l’obiettivo di molti strumenti forensi.
Autopsy/The Sleuth Kit
Autopsy e The Sleuth Kit sono probabilmente i più noti e popolari strumenti forensi esistenti. Questi strumenti sono progettati per analizzare le immagini del disco, eseguire analisi approfondite dei file system e includere una vasta gamma di altre caratteristiche. Di conseguenza, includono funzionalità da molte delle categorie di strumenti forensi menzionate sopra e sono un buon punto di partenza per un’indagine di computer forense.
Autopsy e The Sleuth Kit sono disponibili sia per Unix che per Windows e possono essere scaricati qui.
X-Ways Forensics
X-Ways Forensics è una piattaforma commerciale di digital forensics per Windows. L’azienda offre anche una versione più ridotta della piattaforma chiamata X-Ways Investigator.
Un importante punto di forza della piattaforma è che è progettata per essere efficiente in termini di risorse e in grado di funzionare da una chiavetta USB. Nonostante questo, vanta una serie impressionante di caratteristiche, che sono elencate sul suo sito web qui.
AccessData FTK
AccessData Forensics Toolkit (FTK) è una piattaforma forense digitale commerciale che si vanta della sua velocità di analisi. Sostiene di essere l’unica piattaforma forense che sfrutta completamente i computer multi-core. Inoltre, FTK esegue l’indicizzazione in anticipo, accelerando l’analisi successiva degli artefatti forensi raccolti.
Leggi di più qui.
EnCase
EnCase è una piattaforma forense commerciale. Offre supporto per la raccolta di prove da oltre venticinque diversi tipi di dispositivi, tra cui desktop, dispositivi mobili e GPS. All’interno dello strumento, un investigatore forense può ispezionare i dati raccolti e generare una vasta gamma di rapporti basati su modelli predefiniti.
Leggi di più su EnCase qui.
Mandiant RedLine
Mandiant RedLine è uno strumento popolare per l’analisi della memoria e dei file. Raccoglie informazioni sui processi in esecuzione su un host, sui driver dalla memoria e raccoglie altri dati come metadati, dati di registro, attività, servizi, informazioni di rete e cronologia internet per costruire un report adeguato.
Leggi di più qui.
Paraben Suite
La Paraben Corporation offre una serie di strumenti forensi con una serie di diverse opzioni di licenza. Paraben ha capacità in:
- Desktop forensics
- Email forensics
- Analisi smartphone
- Analisi del cloud
- IoT forensics
- Triage e visualizzazione
L’offerta E3:Universal offre un accesso all-in-one, l’E3:DS si concentra sui dispositivi mobili e altre opzioni di licenza rompono le funzionalità di computer forensics, email forensics e visualizzazione.
Leggi di più qui.
Bulk Extractor
Bulk Extractor è anche un importante e popolare strumento di digital forensics. Esamina le immagini del disco, file o directory di file per estrarre informazioni utili. In questo processo, ignora la struttura del file system, quindi è più veloce di altri tipi di strumenti simili disponibili. È fondamentalmente utilizzato dall’intelligence e dalle forze dell’ordine per risolvere i crimini informatici.
Al momento, l’ultima versione del software, disponibile qui, non è stata aggiornata dal 2014. Tuttavia, una versione 2.0 è attualmente in fase di sviluppo con una data di rilascio sconosciuta. Può essere trovata qui.
Analisi del registro
Il registro di Windows serve come database di informazioni di configurazione per il sistema operativo e le applicazioni in esecuzione su di esso. Per questo motivo, può contenere una grande quantità di informazioni utili utilizzate nell’analisi forense.
Registry Recon
Registry Recon è un popolare strumento commerciale di analisi del registro. Estrae le informazioni del registro dalle prove e poi ricostruisce la rappresentazione del registro. Può ricostruire i registri sia dalle installazioni attuali che da quelle precedenti di Windows.
Leggi di più su di esso qui.
Memory forensics
L’analisi del file system manca la memoria volatile del sistema (cioè la RAM). Alcuni strumenti di forensics si concentrano sulla cattura delle informazioni memorizzate qui.
Volatility
Volatility è il framework di memory forensics. È utilizzato per la risposta agli incidenti e l’analisi del malware. Con questo strumento, è possibile estrarre informazioni dai processi in esecuzione, socket di rete, connessione di rete, DLL e alveari del registro. Ha anche il supporto per estrarre informazioni dai file di crash dump di Windows e dai file di ibernazione. Questo strumento è disponibile gratuitamente sotto licenza GPL.
Leggi di più sullo strumento qui.
WindowsSCOPE
WindowsSCOPE è uno strumento commerciale di forensics e reverse engineering utilizzato per analizzare la memoria volatile. È fondamentalmente utilizzato per il reverse engineering del malware. Fornisce la capacità di analizzare il kernel di Windows, i driver, le DLL e la memoria virtuale e fisica.
Leggi di più qui.
Analisi della rete
La maggior parte dei cyberattacchi avviene in rete, e la rete può essere una fonte utile di dati forensi. Questi strumenti permettono a un investigatore forense di analizzare efficacemente il traffico di rete.
Wireshark
Wireshark è lo strumento di analisi del traffico di rete più usato in circolazione. Ha la capacità di catturare il traffico dal vivo o ingerire un file di cattura salvato. I numerosi dissettori di protocollo di Wireshark e l’interfaccia user-friendly rendono facile ispezionare il contenuto di una cattura di traffico e cercare prove forensi al suo interno.
Leggi di più qui.
Network Miner
Network Miner è uno strumento di analisi del traffico di rete con opzioni sia gratuite che commerciali. Mentre molte delle caratteristiche premium sono disponibili gratuitamente con Wireshark, la versione gratuita può essere uno strumento utile per le indagini forensi. Organizza le informazioni in un modo diverso da Wireshark ed estrae automaticamente alcuni tipi di file da una cattura di traffico.
Leggi di più qui.
Xplico
Xplico è uno strumento di analisi forense di rete open-source. È usato per estrarre dati utili da applicazioni che usano Internet e protocolli di rete. Supporta la maggior parte dei protocolli popolari tra cui HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP e altri. I dati in uscita dallo strumento sono memorizzati in un database SQLite o MySQL. Supporta anche IPv4 e IPv6.
Leggi di più su questo strumento qui.
Mobile device forensics
I dispositivi mobili stanno diventando il metodo principale con cui molte persone accedono a internet. Alcuni strumenti forensi si concentrano sull’analisi dei dispositivi mobili.
Oxygen Forensic Detective
Oxygen Forensic Detective si concentra sui dispositivi mobili, ma è in grado di estrarre i dati da diverse piattaforme, compresi i dispositivi mobili, IoT, servizi cloud, droni, schede multimediali, backup e piattaforme desktop. Utilizza metodi fisici per bypassare la sicurezza del dispositivo (come il blocco dello schermo) e raccoglie dati di autenticazione per una serie di diverse applicazioni mobili. Oxygen è un prodotto commerciale distribuito come dongle USB.
Più informazioni qui.
Cellebrite UFED
Cellebrite offre una serie di strumenti commerciali di digital forensics, ma il suo Cellebrite UFED sostiene di essere lo standard del settore per accedere ai dati digitali. L’offerta principale di UFED si concentra sui dispositivi mobili, ma la linea generale di prodotti UFED si rivolge a una serie di dispositivi, tra cui droni, schede SIM e SD, GPS, cloud e altro. La piattaforma UFED sostiene di utilizzare metodi esclusivi per massimizzare l’estrazione dei dati dai dispositivi mobili.
Più informazioni qui.
XRY
XRY è una raccolta di diversi strumenti commerciali per la forense dei dispositivi mobili. XRY Logical è una suite di strumenti progettati per interfacciarsi con il sistema operativo del dispositivo mobile ed estrarre i dati desiderati. XRY Physical, d’altra parte, utilizza tecniche di recupero fisico per bypassare il sistema operativo, consentendo l’analisi dei dispositivi bloccati.
Leggi di più su XRY qui.
Distribuzioni Linux
Molti degli strumenti descritti qui sono gratuiti e open-source. Sono state create diverse distribuzioni Linux che aggregano questi strumenti gratuiti per fornire un toolkit all-in-one per gli investigatori forensi.
CAINE
CAINE (Computer Aided Investigative Environment) è la distro Linux creata per la digital forensics. Offre un ambiente per integrare strumenti software esistenti come moduli software in un modo facile da usare. Questo strumento è open-source.
Leggi di più su di esso qui.
SANS SIFT
SIFT è un’altra macchina virtuale Linux open-source che aggrega strumenti di digital forensics gratuiti. Questa piattaforma è stata sviluppata dal SANS Institute e il suo uso è insegnato in un certo numero di corsi.
Leggi di più qui.
HELIX3
HELIX3 è una suite forense digitale basata su CD live creata per essere usata nella risposta agli incidenti. Viene fornito con molti strumenti forensi digitali open-source, tra cui editor esadecimali, strumenti di intaglio dei dati e di cracking delle password. Se volete la versione gratuita, potete scegliere Helix3 2009R1. Dopo questa versione, il progetto è stato rilevato da un fornitore commerciale. Quindi, è necessario pagare per la versione più recente dello strumento.
Questo strumento può raccogliere dati dalla memoria fisica, connessioni di rete, account utente, processi e servizi in esecuzione, lavori programmati, registro di Windows, log di chat, catture di schermo, file SAM, applicazioni, driver, variabili d’ambiente e cronologia internet. Poi analizza ed esamina i dati per generare i risultati compilati sulla base di rapporti.
Helix3 2008R1 può essere scaricato qui.
La versione enterprise è disponibile qui.
Conclusione
La digital forensics è una specializzazione che è costantemente richiesta. Man mano che il numero di cyberattacchi e violazioni dei dati cresce e i requisiti normativi diventano più severi, le organizzazioni richiedono la capacità di determinare la portata e l’impatto di un potenziale incidente.
Gli strumenti inclusi in questa lista sono alcuni degli strumenti e delle piattaforme più popolari utilizzati per l’analisi forense. In molti casi, questi strumenti hanno funzionalità simili, quindi la scelta tra loro dipende principalmente dal costo e dalle preferenze personali. Inoltre, è disponibile un’ampia varietà di altri strumenti.
Un buon punto di partenza per provare gli strumenti di digital forensics è esplorare una delle piattaforme Linux menzionate alla fine di questo articolo. Queste piattaforme hanno una serie di strumenti gratuiti installati e configurati, rendendo possibile provare le varie opzioni senza un investimento significativo in termini di costi di licenza o di tempo di configurazione.