Gli standard qualitativi nella Computer Forensics

di Cristian Ceroni


Il lavoro principale di un computer forenser consiste nell’analisi di immagini provenienti dai supporti originali oggetto d’indagine. Le immagini provenienti dai sistemi originali vengono create su supporti adeguati, nella maggior parte dei casi hard disk, realizzando la cosiddetta “working copy"

E’ tassativo sterilizzare i drive che conterranno le immagini da analizzare, in modo da evitare errori in fase di analisi e controversie sulla validità legale dei risultati ottenuti.

La semplice formattazione di un drive non garantisce la sterilizzazione di un supporto, è necessaria una procedura che cancelli ogni settore del disco per mezzo di un pattern specifico, nella maggior parte dei casi 0x00.

Essenzialmente, la sterilizzazione di supporti quali hard disk o floppy è composta dalle seguenti procedure :

· sovrascrittura di ogni settore con un pattern specifico, nella maggior parte dei casi 0x00

· verifica dell’effettiva sterilizzazione completa del supporto

· Conservazione ed etichettatura

La maggior parte dei tools di Computer Forensics comprende funzionalità di wiping e validazione dei drive di supporto, esistono comunque diverse utility OpenSource, Freeware o commerciali create appositamente per la cancellazione sicura dei dispositivi.

Uno dei sistemi tra i più consolidati consiste nell’utilizzo di “dd” per ripulire il disco di destinazione attraverso il pattern 0x00. Tra i vantaggi di questo sistema la possibilità di eseguire l’operazione da una delle varie distribuzioni linux live, magari saturando gli slot ide di hard disk da sterilizzare.

Il comando è abbastanza semplice:

dd if=/dev/zero bs=xxxx of=/dev/hdax

Attraverso l’impostazione del device virtuale /dev/zero come input, dd inserisce sul disco il pattern 0x00 dal primo settore alla fine del disco.

Impostando correttamente il parametro bs a seconda delle caratteristiche dell’hd è possibile variare le dimensioni del blocco di scrittura di dd, velocizzando la sovrascrittura del disco (es. bs=4096 bs=2048 ecc…).

Utilizzando dcfldd al posto di dd avremo come vantaggio la progressione del task in tempo reale es:

dcfldd if=/dev/zero bs=4096 of=/dev/hdx

Una volta sterilizzato il supporto occorre documentare la completa sovrascrittura attraverso una procedura di validazione. Restando in ambito OpenSource, xdd consente di rilevare l’effettivo completamento del drive:

dd if=/dev/hdx | xdd | grep –v “0000 0000 0000 0000 0000 0000 0000 0000”

o più semplicemente:

xxd -a /dev/hdx

In tutti e due i casi utilizziamo xxd per analizzare il device, con la prima stringa passiamo l’output a grep con l’opzione –v (invert-match), in modo che cerchi qualsiasi riga non contenente tutti “0”; con la seconda stringa, impostando il parametro –a (autoskip) di xdd che sostituisce le linee duplicate con un asterisco, otterremo in output qualcosa come :

0000000: 0000 0000 0000 0000 0000 0000 0000 0000 …………

*

6216ff0: 0000 0000 0000 0000 0000 0000 0000 0000 …………

se il disco è effettivamente sterilizzato.

Un altro tool gratuito che integra funzionalità di wiping e di validazione è Sterilize, del Cybersecurity Institute http://www.cybersecurityinstitute.biz/software/ . Il programma, attualmente alla versione 1.02.73, è distribuito gratuitamente e può essere integrato facilmente in un floppy dos di boot.

La funzionalità di validazione avviene calcolando il checksum a 128 bit del supporto, con risultato 0x00000000000000000000000000000000 se il drive è stato sterilizzato correttamente.


Per informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito.
La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale.

>>>Forum<<<

Google
Web
cybercrimes.it

Lo Staff di Cybercrimes.it

Anconelli Maurizio

Adduci Massimo



ISFCE


hackin9

Hard Disk Forensics e Specifiche ATA