Cybercrimes.it - Computer Forensics & Crimine Informatico

The Sleuth Kit Informer

Numero 21

http://www.sleuthkit.org/informer
http://sleuthkit.sourceforge.net/informer

Brian Carrier
carrier at sleuthkit dot org

Numero 21
15 Novembre 2005

Traduzione : Maurizio Anconelli

Introduzione
Novità
Call For Papers
Nuove licenze di Sleuth Kit
FAT e modifiche di ils

Introduction

Questo numero di The Sleuth Kit Informer è uscito molto in ritardo. Più persone hanno chiesto se Informer avesse smesso di uscire, la verità è che c'erano molte altre cose da fare. Questo numero tratta i cambiamenti occorsi nella più recente versione di The Sleuth Kit e Autopsy. Il primo articolo chiarisce i cambiamenti di licenza ed il secondo parla di come ils ora gestisca i filesystem FAT. Come risultato dei cambiamenti nell'ultima versione, ils può non mostrare alcune istanze di directory non allocate nello slack space ma, il tool ora funziona molto più velocemente.

Novità

Sono sicuro di omettere alcuni degli aggiornamenti applicati dall'ultimo numero uscito a maggio ma, alcuni dei più importanti sono elencati di seguito.

Sono state rilasciate le versioni 2.02 e 2.03 di The Sleuth Kit. Gli aggiornamenti includono il supporto per Unicode nei filesystem FAT, NTFS, UFS, e ExtX ; il miglioramento della gestione dei nomi di file corti in FAT e dei nomi cancellati in UFS e ExtX ; maggiori aggiornamenti alla struttura interna del codice ed alle relative librerie. L'aggiornamento Unicode è supportato da I.D.E.A.L. Technology. E' stato rilasciato anche Autopsy 2.06 con l'aggiornamento per il supporto di Unicode e l'inserimento dei Cascading Style Sheets (CSS).

E' ora possibile acquistare articoli relativi a Sleuth Kit, come magliette e tazze, presso lo Sleuth Kit Cafe Press Store:
http://www.cafepress.com/sleuthkit/

E' ora disponibile la traduzione italiana di The Sleuth Kit Informer, disponibile grazie a Maurizio Anconelli:
http://www.cybercrimes.it/

David Berger di NetMon ha sviluppato il tool Allin1, che permette di eseguire automaticamente in un unico passaggio alcune delle fasi iniziali del caso in Autopsy. In particolare:

Estrarre lo spazio non allocato
Estrarre le stringhe di testo (ASCII and Unicode) dallo spazio allocato e non
Ordinare i file per tipo
Identificare le immagini e creare thumbnails
Utilizzare foremost per estrarre dati
Pianificare le procedure di analisi ad un orario successivo (es. di notte)

E' basato su Python e disponibile su:
http://www.netmon.ch/allin1.html

E' stato recentemente pubblicato il libro di Keith Jones, Richard Bejtlich, e Curtis Rose "Real Digital Forensics" nel quale è presente del materiale su The Sleuth Kit e Autopsy:
http://www.realdigitalforensics.com/

Call For Papers

The Sleuth Kit Informer sta cercando articoli su strumenti open source e tecniche per l'investigazione digitale (computer / digital forensics) ed incident response. Sono apprezzati, ma non richiesti, articoli che parlano di The Sleuth Kit e Autopsy. Argomentazioni d'esempio includono (ma non sono limitate a):

Tutorials strumenti open source
Esperienze e commenti sull'utilizzo di strumenti open source
Nuove tecniche di investigazione con tool open source
Test e risultati di tool open source

http://www.sleuthkit.org/informer/cfp.html

Nuove licenze di Sleuth Kit

di Brian Carrier

Con la versione 2.03 le licenze di Sleuth Kit sono cambiate. Le versioni precedenti erano caratterizzate da una combinazione di IBM Public License (risalente ai tool originali di TCT), BSD license, e GNU Public License (GPL). Ciò comportava un certo grado di confusione per chi intendeva incorporare le librerie di analisi nelle proprie applicazioni.

Dalla versione 2.03, tutti i tool TSK eccetto srch_strings e file sono rilasciati sotto la IBM Public License o la Common Public License (CPL). La CPL è la forma più generale della IBM Public License. Il tool srch_strings appartiene all'insieme di tool GNU binutils ed il programma file ha la licenza BSD . Autopsy è sempre rilasciato sotto licenza GPL.

Ci sono un paio di ragioni per le quali scegliere la licenza CPL. In primo luogo, per l'equivalenza all'IBM Public License, in modo che tutti i tool abbiano la stessa licenza. I cambiamenti all'architettura occorsi nei tre anni passati dalla separazione da TCT avrebbero reso difficile identificare quale codice fosse rilasciato sotto quale licenza. In secondo luogo la licenza CPL permette l'utilizzo dei tool come componenti di applicazioni a codice chiuso, fermo restando l'applicazione open source ad ogni aggiornamento del codice di TSK.

Benché preferisca che TSK sia utilizzato unicamente da altri tool open source, ritengo ci sia un interessante compromesso con i tool di analisi forense a sorgente chiuso e aperto. Tre anni fa ho scritto a riguardo dei potenziali benefici legali derivanti dall'utilizzo di tool di investigazione open source che sono costituiti da procedure pubbliche e permettono ad un esperto di documentarne il funzionamento. Ho proposto anche un'architettura che permetta l'utilizzo di tool open source per quanto riguarda l'estrazione dei dati e l'utilizzo di tool a sorgente chiuso per la presentazione (interfaccia) . Ciò permette all'investigatore, o ad altri esperti, di verificare i risultati senza far correre al commerciante il rischio di perdita dei propri segreti commerciali. Dopo tutto, l'analisi di un filesystem FAT o di altri formati di dati noti non richiede alcun segreto commerciale. Questo sistema permette alle compagnie di competere per quanto riguarda le interfacce, l'usabilità, il supporto ecc... continuando ad avere una struttura trasparente e aperta ad esami imparziali da parte della corte.

Licenze che obbligano ad utilizzare il codice open source unicamente con tool open source avrebbero impedito in queste situazioni l'utilizzo delle librerie TSK. La CPL è, al contrario, una di quelle licenze che supportano la combinazione di sorgente aperto e chiuso. Pertanto, è la licenza di molte delle aggiunte fatte dal momento della separazione da TCT.

Brian Carrier. "Open Source Digital Forensic tool: The Legal Argument." @stake Research Report. Ottobre 2002. Disponibile su: http://www.digital-evidence.org/papers/opensrc_legal.pdf

Common Public License 1.0. Disponibile su: http://www.opensource.org/licenses/cpl1.0.php

FAT e modifiche di ils

di Brian Carrier

Il tool ils elenca le informazioni sui metadati per i file allocati e non allocati. Nei filesystem FAT solitamente impiegava molto tempo, poiché ils esaminava ogni settore del filesystem. La versione 2.03 di TSK ha cambiato il sistema con il quale ils processa il filesystem FAT e ils è ora molto più veloce, anche se questa velocità ha un costo. Il costo è che non vengono elencate le directory non allocate presenti nello slack space di un file. Questo articolo descrive come ciò avvenga.

I metadati di un filesystem FAT file includono la dimensione del file, gli indirizzi dei cluster, i dati temporali, e gli attributi. I dati sono conservati in strutture delle directory inserite nei cluster allocati alla directory parent del file. Questo significa che possono esistere ovunque nel filesystem. Altri filesystem conservano tutti i metadati in una posizione centrale, che rende ne rende più semplice il ritrovamento.

Visto che le directory entry possono essere ovunque nel filesystem e TSK ha bisogno di trovare quelle non allocate, le precedenti versioni di TSK scansivano ogni settore cercando directory entry. Il processo originale consisteva nell'esaminare i primi 32 bytes del settore (che contengono la grandezza di una directory entry) testandoli per verificare se contenessero delle directory entry valide. In caso affermativo l'intero settore sarebbe stato processato, in caso negativo sarebbe stato esaminato il settore successivo. Per questo motivo il processo richiedeva tanto tempo.

La versione 2.02 ha cambiato leggermente questo processo poiché alcuni file venivano trovati dove la prima entry del settore conteneva una entry cancellata e quindi il test non veniva passato. Di conseguenza, l'intero settore veniva saltato anche se avesse contenuto entry allocate. Questo significa che nel processare il contenuto delle directory, questi file potevano essere trovati utilizzando fls ma non ils. La soluzione consisteva nel determinare prima quali settori fossero allocati a directory senza scartarli, anche se i primi 32 bytes non avessero rappresentato delle entry valide. Sfortunatamente questo comportava comunque un processo lungo poichè prima dell'esame di ogni settore occorreva comunque scorrere la gerarchia delle directory.

La versione 2.03 ha aggiunto il supporto a Unicode, comportando la riorganizzazione del test sui primi 32 bytes per supportare i nomi in Unicode oltre che a quelli ASCII. Questo cambiamento ha provocato la comparsa di alcuni falsi positivi causati da dati random che non erano reali directory entry. Bisognava quindi riconsiderare l'intero approccio. Il risultato è una struttura molto più efficiente che esamina solo i settori che sono o allocati ad una directory o non allocati. In altre parole, vengono saltati i settori allocati a file (che in ogni caso non dovrebbero contenere directory).

Questo sistema velocizza moltissimo il processo e riduce i falsi positivi, la parte negativa è però che possono esistere directory entries nello slack space di un file. Il settore finale allocato ad un file (lo slack space) può contenere dati del file o di directory precedentemente allocate. Se una directory avesse allocato in precedenza il settore quindi lo stesso potrebbe ancora contenere la directory entry, senza che ils la rilevi ed evidenzi.

Non è chiaro quanto siano comuni le directory entry conservate nello slack come non è chiaro quale approccio utilizzino altri tool. Questo è un esempio di come la mancanza di procedure di analisi standardizzate può produrre risultati differenti con tool differenti. Nel futuro, esaminerò quanto sia costoso includere lo slack space nella nuova struttura.

Brian Carrier. "File System Forensic Analysis." Addison Wesley. 2005.