I 10 strumenti forensi più popolari in esecuzione su Linux
Al giorno d’oggi, la computer o digital forensics è molto importante a causa dei crimini legati a computer, internet e telefoni cellulari. Le prove, come computer e dispositivi digitali, contengono o memorizzano informazioni sensibili che possono essere utili all’investigatore forense in un particolare crimine o incidente.
La digital forensics richiedeva strumenti per estrarre le informazioni desiderate dai dispositivi. Esistono diversi strumenti commerciali per le indagini forensi, tuttavia è necessario acquistarne una quantità enorme. Anche la comunità open source ha contribuito in quest’area e c’è di più strumenti opensource per il settore della digital forensics. In questo articolo verranno esplorati i migliori strumenti legati alla digital forensics.
Prima di esplorare i noti strumenti forensi digitali, le seguenti distribuzioni Linux contenevano molti strumenti forensi gratuiti.
1) SIFT (SANS Investigative Forensic Toolkit)
Un team internazionale di esperti forensi, insieme a istruttori SANS, ha creato la workstation SANS Incident Forensic Toolkit (SIFT) per la risposta agli incidenti e l’uso della digital forensics. Suite forense SIFT è disponibile gratuitamente per l’intera comunità. Il toolkit SIFT gratuito, che può adattarsi a qualsiasi moderna suite di strumenti forensi e di risposta agli incidenti, utilizzata nei corsi SANS. Dimostra che le indagini avanzate e la risposta alle intrusioni possono essere eseguite utilizzando strumenti open source all’avanguardia che sono disponibili gratuitamente e aggiornati di frequente.
Le caratteristiche della distribuzione SIFT sono le seguenti:
- Base Ubuntu LTS 14.04
- Sistema di base a 32/64 bit
- Gli ultimi strumenti e tecniche forensi
- VMware Appliance pronta per gestire le analisi forensi
- Compatibilità incrociata tra Linux e Windows
- Opzione per l’installazione autonoma tramite (.iso) o l’utilizzo tramite VMware Player/Workstation/
2) CANE (Ambiente di indagine assistita da computer)
CAINE è una distribuzione Linux live creata come progetto Digital Forensics. CAINE offre una medicina legale completa ambiente organizzato per integrare gli strumenti software esistenti come moduli software e per fornire un’interfaccia grafica amichevole.
I principali obiettivi che la distribuzione CAINE intende garantire sono i seguenti:
- un ambiente interoperabile che supporta l’investigatore digitale durante le quattro fasi dell’indagine digitale
- interfaccia grafica facile da usare
- contiene strumenti open source
3) KALI (precedentemente Backtrack)
Kali Linux è un progetto open source gestito e finanziato da Sicurezza offensiva, un fornitore di livello mondiale di test di penetrazione delle informazioni e servizi di formazione. Kali Linux è la prima scelta di penetration tester e professionisti della sicurezza. Ha strumenti di sicurezza per scopi diversi. Gli strumenti open source per l’analisi mobile, di rete e della RAM sono disponibili in KalìLinux.
4) DEFT Linux (Digital Evidence and Forensics Toolkit)
DEFT è una distribuzione realizzata per Computer Forensics, con l’obiettivo di girare live sui sistemi senza manomettere o danneggiare i dispositivi (hard disk, pendrive). È basato su GNU Linux e può essere eseguito live (tramite CD/DVD o pendrive USB), installato o eseguito come macchina virtuale su VMware/Virtualbox. DEFT è associato a DART (noto come Digital Advanced Response Toolkit), un sistema forense che può essere eseguito su Windows e contiene i migliori strumenti per la medicina legale e la risposta agli incidenti.
5) Martyus
È una distribuzione di sicurezza completamente basata su Debian composta da un potente gruppo di oltre 300 strumenti gratuiti e open source che possono essere utilizzati per vari scopi inclusi ma non limitati a test di penetrazione, hacking etico, amministrazione di sistema e rete, cibernetica. forense, test di sicurezza, analisi delle vulnerabilità e altro ancora. È una distribuzione progettata per appassionati e professionisti della sicurezza, anche se normalmente può essere utilizzata come sistema desktop predefinito.
Matrix è progettato per essere eseguito da supporti live come CD/DVD o chiavette USB o può essere facilmente installato sul disco rigido in pochi passaggi. Matriux include anche una serie di strumenti informatici forensi e di recupero dati che possono essere utilizzati per analisi e indagini forensi e recupero dati.
6) Santoko
Santoku è dedicato alla medicina legale mobile, analisi e sicurezza e confezionati in una piattaforma Open Source di facile utilizzo. È sponsorizzato dalla società di sicurezza mobile “nowsecure”.
Strumenti forensi gratuiti per Linux
Esistono diverse categorie di strumenti di computer forensics, tuttavia, le seguenti sono categorie ben note:
- Analisi forense della memoria
- Analisi forense del disco rigido
- Imaging forense
- Rete forense
7) Volatilità
Usando Volatility, puoi estrarre informazioni su processi in esecuzione, socket di rete aperti e connessioni di rete, DLL caricate per ogni processo, hive di registro memorizzati nella cache, ID di processo e altro. È diventato uno strumento investigativo digitale indispensabile su cui fanno affidamento gli investigatori di polizia, militari, accademici e commerciali di tutto il mondo. Il framework di volatilità supporta sia la piattaforma Windows che Linux per la medicina legale
8) L’utilità “dd” di Linux.
L’utilità “dd” viene fornita di default sulla maggior parte delle distribuzioni Linux oggi disponibili (ad esempio Ubuntu, Fedora). Questo strumento può essere utilizzato per varie attività forensi digitali come la cancellazione forense di un’unità (azzeramento di un’unità) e la creazione di un’immagine non elaborata di un’unità. È uno strumento molto potente che può avere effetti devastanti se non usato con attenzione. Si consiglia di sperimentare in un ambiente sicuro prima di utilizzare questo strumento nel mondo reale.
9) Kit investigativo (autopsia)
Il kit del detective è un toolkit forense digitale open source che può essere utilizzato per eseguire analisi approfondite di vari file system (FAT, NTFS, EXT2/3 ecc. e immagini grezze). Autopsie è una GUI per Sleuth Kit (strumento a riga di comando). Viene fornito con funzionalità come analisi della cronologia, filtro hash, analisi del file system e ricerca per parole chiave con la possibilità di aggiungere altri moduli per funzionalità estese.
Quando avvii Autopsy, puoi scegliere di creare un nuovo caso o caricarne uno esistente. Per creare un nuovo caso, dovrai caricare un’immagine forense per iniziare l’analisi e, una volta completato il processo di analisi, utilizzare i nodi nel pannello di sinistra per scegliere quali risultati visualizzare.
10) XPlico
Conclusione
Questo articolo riguarda il contributo open source alla digital forensics. Vengono discussi strumenti gratuiti e popolari relativi a diverse aree della digital forensics. Sono elencate diverse distribuzioni Linux contenenti molti strumenti forensi gratuiti.