Storia di un'analisi forense informatica - Parte 2 L'analisi
di Nanni Bassetti
Torniamo in laboratorio con il nostro hard disk pieno, lì
dentro ci aspetta un file, image.img, di 80Gb, un mostro, che
deve
essere masterizzato per farne una copia di sicurezza da dare
agli inquirenti.
Stiamo per affrontare ancora lunghi tempi di
attesa, prima di scatenarci con l''analisi, la ricerca di quello che
ci hanno
incaricato di trovare.
Se l''hard disk esterno è
stato formattato in Ext3, nonostante i driver EXT2FSD per Windows,
che permettono la scrittura su
HD EXT3 e
EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho
provato che la lettura e scrittura di grosse moli di
dati genera
errori di lettura dopo un pò di ore...mandando all''aria tutto
il resto dei files generati con WinRar o con Winzip.
(In pratica la lettura da Windows di un HD EXT3 non è
perfetta.)
Quindi facciamo un boot da Helix e da
terminal root scriviamo:
gzip -N -C -9 /media/sda1/image.img >
/media/sda1/zip/image.gz
Il paramentro -N serve a mantenere il
nome file ed il timestamp uguali al file origine (molto importante),
mentre il -9 indica
il fattore di compressione massimo, infine il
> /media/sda1/image.gz serve ad indirizzare l''output sul file
image.gz nella
directory "zip".
Ore
10:00
Iniziamo a zippare
Ore 14:00
Abbiamo finito di
zippare....4 ore di attesa...
Ma dopo aver generato il file
image.gz dobbiamo generare l''hash MD5 per firmare il file.
Ore
14:01
Lanciamo l''md5sum /media/sda1/zip/image.gz >
/media/sda1/zip/md5gz.txt
Ore 15:16
L''Md5 è
terminato finalmente! (1 ora ed un quarto, con un Centrino 760
2Ghz)
Adesso andiamo su Windows e lanciamo il Winzip e
splittiamo (dividiamo) il file image.gz (includendo il file
md5gz.txt) da 44Gb, scegliamo
l''opzione di compressione Fast e il
taglio DVD, genereremo 11 files (10 da 4.4Gb ed 1 da 1Gb)
Ore
16:46
Finito abbiamo gli 11 pezzi pronti per essere masterizzati,
ma non è ancora finita, dobbiamo firmare ogni singolo
file.
Lanciamo md5deep c:\dvd\*.* > md5split.txt
Arriviamo
alle 18:00 più o meno
A questo punto firmo il file delle
firme: md5sum md5split.txt > md5check.txt
Così anche se
qualcuno dovesse manomettere tutto e ricreare un md5split.txt, la
nuova firma del md5split.txt non coinciderebbe mai con
quella
presa dall''md5check.txt (paranoia??? Ma sì....)
Ed ora la
parte peggiore, masterizziamo ogni singolo file (aggiungendo sempre i
due files md5split.txt e md5check.txt) su DVD velocità 8x, ci
vogliono 15 minuti per scrivere il DVD e 15 minuti
per la verifica
di scrittura (che in questo caso è consigliabile), poi nella
immensa paranoia che ci prende, firmo ogni singolo
DVD con
pennarello indelebile.
A 30 minuti a DVD per 11 pezzi ecco che
perdiamo altre 5 ore e mezzo e arriviamo alle 23:30 ed abbiamo
FINITO!
Adesso passiamo all''analisi!!
Prima di tutto cerchiamo
di focalizzare l''obbiettivo che ci hanno commissionato, ad esempio,
cercare un carteggio e-mail, oppure cercare
delle JPG, oppure una
ben determinata informazione, così da non perdere tempo in
ricerche spasmodiche su cose inutili e fuori mandato.
Se cerchiamo
tutto quello che riguarda i rapporti del sospettato con la Ciccio
Ltd, dobbiamo cercare:
e-mail, documenti e navigazioni sul sito
della Ciccio Ltd.
Chiaramente in casi estremi, si potrebbe parlare
di steganografia, ossia messaggi nascosti nelle immagini, oppure,
informazioni
criptate, ma dipende dall''importanza dell''indagine
e da cosa si cerca e quali sono i sospetti.
In ogni caso tutto si
può fare...ad esempio lanciamo Autopsy e cerchiamo le keywords
che possono ricondurre a files o spezzoni di files,
che contengono
qualcosa di pertinente al caso:
Ciccio, indirizzo IP della Ciccio
Ltd, sito internet, e-mail di Ciccio Ltd, money, bank, ecc. ecc.
Le
keywords le cerchiamo sia in formato Ascii sia in formato Unicode e
magari anche nello spazio non allocato.
Dai riferimenti uscenti da
Autopsy possiamo salvare i contenuti dei files in rapporti testuali
(magari da allegare) e poi montare l''immagine
magari con un
software come Mount Image Pro e poi andare a copiare i files da
esaminare con software più GUI, ad esempio se becchiamo
Posta
Inviata.dbx lo possiamo dare in pasto a software come "Attachment
Extractor for OE", che permette di visualizzare tutta la
corrispondenza
e gli allegati.
In ogni caso possiamo aprire i
files dbx con un editor testuale e fare l''analisi delle intestazioni
delle e-mail per capire chi ha inviato effettivamente l''email ecc.
Gli allegati li visualizzeremo con l''UUDecode che trasformerà
i caratteri Ascii componenti l''allegato in formato
binario.
Senza
andare in fondo alle varie ricerche possibili, alla fine dovremo:
1)
Consegnare i DVD con un foglio firmato riportante tutti gli MD5
ricavati
2) Consegnare tutte le prove trovate (masterizzate) e
firmate con MD5 o SHA1
3) Stilare un rapporto tecnico ed uno
discorsivo (per il magistrato) sulle azioni compiute ed aggiornare i
documenti di catena di custodia.
L''indagine è conclusa e
le prove...parleranno.
Dott. Nanni
Bassetti
http://www.nannibassetti.com
| Per
informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito. La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale. |
