Autopsy & Sleuthkit, Computer Forensics Open Source
Tra gli strumenti di comune utilizzo nelle indagini su sistemi informatici molti provengono dall'ambiente Unix ed Open Source, basti pensare a programmi come dd, grep e foremost. Pochi sono però gli ambienti di analisi integrata che possano essere paragonati alle controparti per ambiente Windows come EnCase, TFT e X-Ways Forensics. The Sleuth Kit (TSK) in combinazione con Autopsy fornisce un valido framework Open Source per l'analisi forensica di immagini e partizioni con il supporto per vari filesystem, tra i quali FAT e NTFS.
Diversamente dalla maggior parte delle piattaforme di computer forensics, la struttura di Sleuthkit & Autopsy è completamente modulare: The Sleuth Kit non è un programma, bensì un insieme di tools a linea di comando sviluppati in C e Perl, ognuno dei quali esegue operazioni specifiche in ambito specifico. Autopsy Forensic Browser fornisce invece l'interfaccia grafica e l'ambiente di collegamento dei vari programmi, permettendo di ottenere risultati omogenei ed una gestione strutturata del caso.
Il primo impatto ad una struttura simile è spesso “frastornante”, in particolare per chi è abituato al lavoro attraverso un'interfaccia lineare; le iniziali difficoltà di apprendimento e le perplessità relative all'utilizzo di un'interfaccia web per la gestione dell'indagine sono però presto sostituite dal compiacimento per un ambiente potente e facilmente integrabile con gli altri tool Open Source disponibili.
fig.1 Pagina Principale
Lo sviluppo dei tool presenti in TSK ha inizio nel 1999, quando Dan Farmer e Wietse Venema presentano una serie di programmi per l’analisi post-mortem di sistemi Unix, battezzata col nome evocativo di “The Coroner’s Toolkit” (TCT).
Al lavoro dei due ricercatori si aggiunge presto il contributo di Brian Carrier attraverso le TCUTILS, una serie di utility complementari che contribuiscono ad integrare, tra le altre cose, un supporto di base per ulteriori filesystem quali FAT e NTFS.
Benché l’utilità degli strumenti fosse già evidente, il difetto principale era costituito dall’usabilità, visto che i programmi erano esclusivamente a linea di comando, difficili e scomodi da utilizzare in indagini estese. Nasce così Autopsy, un’interfaccia web composta da svariati script in perl e c, capace di elaborare gli output dei vari comandi e presentarli attraverso un’interfaccia più funzionale e sfruttabile.
Nel frattempo il gruppo di ricerca di @stake (recentemente acquisito da Symantec) accoglie il progetto ne diventa il principale sviluppatore, sfornando gli aggiornamenti sotto il nome di TASK (The @stake Sleuth Kit). Attualmente i programmi sono raccolti sotto il nome di “The Sleuth Kit” (TSK) ed il progetto è portato avanti da Brian Carrier, ricercatore della Purdue University e del CERIAS, nonché collaboratore scientifico della @stake Academy.
Le piattaforme supportate per l'installazione della suite sono Linux, OpenBSD, FreeBSD, Solaris, e Mac OS X. E' possibile il porting in ambiente Win32 attraverso la mediazione dell'ambiente Cygwin.
I filesystem supportati sono i più comuni: NTFS, FAT, FFS, EXT2FS, EXT3FS e le funzionalità integrate permettono la maggior parte delle operazioni necessarie nell'indagine forensica, in particolare:
Rilevazione caratteristiche del filesystem
Recupero file eliminati
Rilevazione tipologia dei file attraverso gli header
Creazione di timeline activity
Raccolta spazio non allocato
Ricerca testo
Calcolo hash md5 e sha1
Integrazione di db hash (known good, bad)
Lista per tipologia
Visualizzazione di metadata e Active Data Stream (NTFS)
E' bene chiarire come TSK non sia un tool “tuttofare”, non ha funzionalità di copia e duplicazione disco, non permette la maggior parte delle analisi funzionali a livello applicativo ( es. Analisi registry windows, analisi mail, .dat files) e non è adatto alla network forensics. Ciò nonostante svolge al meglio le funzioni per le quali è progettato, in particolare l'analisi a livello filesystem, senza considerare che le caratteristiche mancanti sono facilmente integrabili con i vari strumenti Open Source preposti alle altre specifiche operazioni (dd, Pasco, Rifiuti, Galleta ecc...).
fig.2 File Browser
Diversamente da alcuni tool che eseguono praticamente in automatico gran parte delle operazioni di estrazione ed analisi dei file, TSK richiede maggior interazione e presuppone una minima consapevolezza da parte dell'utilizzatore, in particolare per quanto riguarda la struttura dei filesystem e la relativa organizzazione dei file. Questa caratteristica che a prima vista può apparire svantaggiosa, rende TSK la piattaforma migliore (e vivamente consigliata) per l'apprendimento della struttura dei filesystem.
Lo sviluppo da parte di Brian Carrier continua regolare, tra le ultime caratteristiche aggiunte spicca la gestione ed il rilevamento delle HPA (Host Protected Area), zone del disco nascoste attraverso comandi ATA relativamente recenti. Sul sito del progetto www.sleuthkit.org sono disponibili le ultime versioni dei programmi e copiosa documentazione redatta dallo stesso Carrier (The Sleuthkit Informer), che oltre ad introdurre l'utilizzo dei vari programmi, fornisce preziose informazioni sull'analisi dei vari filesystem.
Considerata l'utilità dei programmi, l'origine Open Source e la validità quale strumento didattico, vedremo di approfondire l'utilizzo di Sleuthkit e Autopsy attraverso ulteriori articoli di configurazione ed analisi tecnica. Restate sintonizzati.
articoli di configurazione ed analisi tecnica. Restate sintonizzati.
