X-Ways Forensics
Chi ha già utilizzato WinHex come editor esadecimale nell’investigazione in ambiente Windows sarà piacevolmente sorpreso dal nuovo software dedicato messo a disposizione dalla X-Ways Software Tecnology AG. Per chi non avesse mai avuto occasione di apprezzare le qualità di WinHex la sorpresa, invece, di un software a prezzo contenuto capace di supportare la maggior parte delle operazioni di computer forensics.
Alcuni anni fa ero alla ricerca di un programma che permettesse un recupero agevole dei file cancellati non intenzionalmente dagli utenti nel quotidiano lavoro in rete. Tra i vari software disponibili, ne trovai uno poco pubblicizzato ma incredibilmente funzionale e lo scelsi a scapito di programmi ben più blasonati (e costosi).
Nato come editor esadecimale e tool di recupero file, WinHex ha continuato ad arricchirsi di funzionalità sempre più adeguate ad un lavoro di investigazione informatica ed analisi a basso livello sui sistemi operativi Microsoft, conservando al contempo le ottime caratteristiche di qualità e velocità nel supporto al lavoro quotidiano di amministrazione di sistema.
Nel maggio 2004 l’azienda di Colonia immette finalmente sul mercato una versione completamente dedicata all’analisi forensica: X-Ways Forensics.
XWF non è in realtà un nuovo software , ma una particolare caratterizzazione ed implementazione di WinHex allo scopo di fornire ergonomicamente ed in ambiente unico, la maggior parte di funzionalità ricercate da chi si occupa di computer forensics.
fig.1 Interfaccia
La caratteristica di software nato dalla modifica di un programma non sviluppato esclusivamente per la computer forensics potrebbe far storcere il naso a molti e ad essere sinceri anche il sottoscritto, pur essendo da sempre entusiasta di WinHex, ha dimostrato una leggera diffidenza prima della verifica su strada.
Al termine di un’adeguata fase di test, posso affermare con tranquillità che i pochi dubbi si sono completamente dissolti.
Poiché sono molte le funzionalità che vanno ad aggiungersi a quelle già integrate in WinHex, cercherò di elencare le principali, indirizzando le esigenze di approfondimento alle guide ed alle faq presenti sul sito d’origine.
Gestione del caso – Ogni caso è gestito separatamente, presenta caratteristiche, proprietà ed oggetti collegati in una comoda finestra integrata nell’ambiente
Log delle attività – Esiste un sistema di log automatico delle operazioni che permette un successivo esame delle azioni effettuate. E’ possibile gestire i log a livello di oggetto (disabilitarlo o meno) ed i log sono integrati automaticamente nel report finale del caso
Report – Il programma genera all’occorrenza un report finale in formato HTML con i dettagli delle operazioni, gli screenshot delle maschere importanti ed i dettagli e commenti aggiunti al caso. Molto utile per creare un rapporto dettagliato e personalizzato da consegnare al cliente.
·Interpretazione dei file immagine come disco – Le immagini create (col tool compreso X-Ways Replica) possono essere trattate come disco fisico o logico ed essere analizzate di conseguenza
Compatibilità con EnCase – Le immagini create con EnCase possono essere aggiunte ed esaminate come qualsiasi altro oggetto.
Gallery – E’ presente una vista galleria che mostra in anteprima le immagini presenti.
Rilevamento di incongruenze file-estensione – l’immediata segnalazione di file mascherati con la modifica dell’estensione
Rilevamento colore della pelle – Utile nelle indagini di carattere pedo-pornografico, rileva la percentuale di colore di pelle umana nelle immagini.
Rilevamento HPA – E’ evidenziato lo spazio disco nascosto
Cattura slack e free space
Cattura spazio esterno alle partizioni – lo spazio che non appartiene ad alcuna partizione (es. dopo ripartizionamento, ridimensionamento ecc…)
Estrazione testo
Cancellazione sicura supporti
Recupero file – per nome e per tipo
Creazione tabella contenuto – Crea una tabella con i file e directory esistenti e cancellati. Completamente configurabile, permette l’esportazione in testo delimitato per una successiva elaborazione in programmi esterni (OpenOffice, MS Excel ecc…)
Checksum e hashing – CRC32, MD5,SHA1 ecc..
Linguaggio di scripting
Ecc…
fig.2 Gallery View
E’ stata prestata particolare attenzione alla gestione delle prove, ed alla rilevanza che la catalogazione degli interventi assume in un’aula giudiziaria.
Il miglioramento più rilevante consiste infatti, non tanto nell’aver creato nuovi strumenti per la CF, in maggior parte già presenti in WinHex, quanto nell’aver creato una serie di elementi che migliorano la gestione di un’indagine e degli elementi di prova, permettendo un controllo completo delle varie fasi dell’indagine.
fig.3 Proprietà caso
Sebbene alcune delle ultime caratteristiche possano essere perfezionate (inevitabile in un’applicazione appena pubblicata), la funzionalità del software è sorprendente, soprattutto valutando il rapporto qualità/prezzo.
Un difetto a mio parere rimediabile è la mancanza di interpretazione di file binari INDEX.dat e INFO (attività di Iexplorer e Recycler), possibile solo attraverso un programma esterno (X-Ways Trace, richiamabile comunque da un menu interno al programma) venduto separatamente. Ciò comporta una riduzione della velocità di analisi ed una non completa integrazione col caso in oggetto.
Il livello di personalizzazione e configurazione è elevato e sarà sicuramente apprezzato dagli utenti più esperti.
E’ da rilevare come il team di sviluppo proponga costantemente miglioramenti e nuove caratteristiche. Nel breve periodo in cui ho testato il programma è stato pubblicato un update (11.65) che contiene, oltre ad un miglioramento dell’interfaccia in lingua italiana, nuove funzionalità come la completa gestione dei file compressi a livello NTFS ed un visualizzatore dei file registry in struttura.
Sul sito di X-Ways Technology AG è presente un forum di supporto con una sezione dedicata alla computer forensics (accessibile solo da chi ha acquistato una versione Specialist o Forensica di WinHex). Il team si è dimostrato sempre disponibile al chiarimento di ogni dubbio relativo al funzionamento ed alle caratteristiche del programma.
E’ difficile elencare le caratteristiche ed i pregi del programma in questo breve spazio. In altri articoli ne approfondiremo magari il funzionamento in relazione ad indagini dettagliate. Il prezzo del programma relativamente contenuto (al momento € 249,90) e le funzionalità presentate lo rendono in ogni caso uno dei più appetibili ambienti di analisi in ambito di sicurezza, incident response e computer forensics, capace di non sfigurare di fronte a software ben più costoso e popolare.
Sul sito del produttore sono disponibili un white-paper ed un manuale del programma, nonché una versione di valutazione limitata disponibile al download, che consiglio caldamente agli addetti del settore.
