
La digital forensics è il processo di scoperta e interpretazione delle prove elettroniche. È un processo complesso che richiede strumenti specializzati, una conoscenza approfondita di hardware e software, e un approccio metodico.
Lato attacco
Tecniche anti-forensi
Le tecniche anti-forensi sono metodi usati dagli attaccanti per impedire agli esperti di digital forensics di scoprire le prove. Usando queste tecniche, gli attaccanti possono assicurarsi di non lasciare tracce della propria attività nel sistema.
Le tecniche anti-forensi più comuni includono:
Crittografia
La crittografia è uno strumento potente per proteggere i dati da accessi non autorizzati. Cifrando i dati, gli attaccanti possono assicurarsi che non siano accessibili senza la chiave di decrittazione corretta. Questo rende difficile, se non impossibile, per gli esperti di digital forensics accedere ai dati.
File Shredding
Il file shredding è una tecnica usata per cancellare file in modo sicuro e irreversibile. Usando questa tecnica, gli attaccanti possono assicurarsi che anche se i loro dati vengono scoperti, non possano essere recuperati.
Usando queste tecniche anti-forensi, gli attaccanti possono assicurarsi di non lasciare tracce della propria attività nel sistema. Tuttavia, queste tecniche non sono infallibili, e gli esperti di digital forensics potrebbero comunque riuscire a scoprire prove dell’attacco.
Steganografia
La steganografia è una tecnica usata per nascondere dati all’interno di un file digitale. È uno strumento potente per occultare informazioni sensibili da occhi indiscreti. I dati possono essere nascosti in vari tipi di media, come immagini, file audio o video.
La steganografia viene usata in diverse applicazioni, come la protezione del copyright, le comunicazioni sicure e lo storage dei dati. Viene usata anche in digital forensics per scoprire prove nascoste.
Nascondere dati nelle immagini
Il tool steghide può essere usato per nascondere dati nelle immagini. La sintassi del comando steghide è la seguente:
$ steghide embed -ef <input file> -cf <cover file> -sf <output file>
L’argomento -ef <input file> specifica il file da nascondere. L’argomento -cf <cover file> specifica il file immagine in cui verranno nascosti i dati. L’argomento -sf <output file> specifica il file di output.
Esempio:
Per nascondere il file data.txt nell’immagine image.jpg, eseguite il seguente comando:
$ steghide embed -ef data.txt -cf image.jpg -sf secret.jpg
Il file secret.jpg contiene i dati nascosti.
Nascondere dati nei file audio
Il comando mp3stego (https://www.petitcolas.net/steganography/mp3stego/) può essere usato per nascondere dati nei file audio. La sintassi del comando mp3stego è la seguente:
$ mp3stego -e -p <password> -f <input file> -o <output file>
L’argomento -e specifica che i dati devono essere incorporati. L’argomento -p <password> specifica la password da usare per la cifratura. L’argomento -f <input file> specifica il file da nascondere. L’argomento -o <output file> specifica il file di output.
Esempio:
Per nascondere il file data.txt nel file audio audio.mp3, eseguite il seguente comando:
$ mp3stego -e -p mypassword -f data.txt -o secret.mp3
Il file secret.mp3 contiene i dati nascosti.
In generale, la steganografia è uno strumento potente per occultare dati all’interno di file digitali. Usando gli strumenti e le tecniche giuste, è possibile conservare dati in modo sicuro e proteggerli da accessi non autorizzati.
Strumenti
Comando shred
Il comando shred è uno strumento importante per la digital forensics, poiché può essere usato per cancellare file in modo sicuro e ripulire le tracce durante un attacco. Il comando shred funziona sovrascrivendo i dati più volte, rendendo impossibile recuperare il file originale. Questo garantisce che i dati vengano cancellati in modo permanente, impedendo che vengano usati come prova.
La sintassi del comando shred è la seguente:
$ shred [OPTIONS] <file>
L’argomento <file> specifica il file da eliminare.
Esempi:
Per cancellare in modo sicuro il file data.txt, eseguite il seguente comando:
$ shred data.txt
Per cancellare in modo sicuro il file data.txt sovrascrivendolo 20 volte, eseguite il seguente comando:
$ shred -n 20 data.txt
Sovrascrivendo i dati più volte è possibile garantire che vengano cancellati in modo permanente e non possano essere usati come prova.
Lato difesa
Confronto bit-a-bit in Digital Forensics
Il confronto bit-a-bit è una tecnica usata in digital forensics per confrontare due o più oggetti digitali e determinare se sono identici. È uno strumento potente che può essere usato per scoprire prove e identificare pattern nei dati digitali. Il confronto bit-a-bit consiste nel confrontare la rappresentazione binaria di ciascun oggetto, permettendo un’analisi dettagliata dei dati. Oltre a scoprire prove, può essere usato anche per identificare e rimuovere software malevolo dai dispositivi digitali.
Tecniche di hashing
Le tecniche di hashing vengono usate per confrontare due o più oggetti digitali e determinare se sono identici. L’hashing è uno strumento potente che può essere usato per scoprire prove e identificare pattern nei dati digitali. In digital forensics, le tecniche di hashing consistono nel creare un “valore hash” unico per ciascun oggetto digitale. Questo valore hash viene poi confrontato con altri oggetti per determinare se sono identici.
Forensics dei login nei sistemi Linux
I sistemi Linux stanno diventando sempre più diffusi, e con essi cresce anche la necessità di sicurezza. Per questo, gli esperti di sicurezza hanno sviluppato metodi per analizzare i dati di login e scoprire attività malevole o accessi non autorizzati. Questo processo è noto come forensics dei login in Linux.
Nella forensics dei login in Linux, gli esperti analizzano i file di log associati ai tentativi di login. Questo include l’esame dello username e dell’indirizzo IP di ogni tentativo di login, oltre al timestamp e all’esito (successo o fallimento). Analizzando questi dati, gli esperti possono identificare pattern di attività malevola, come attacchi brute-force o accessi non autorizzati.
Oltre all’analisi dei file di log, gli esperti possono analizzare anche i processi di sistema per scoprire prove di attività malevola. Questo può aiutare a identificare processi malevoli avviati, oltre ad account utente sospetti.
Analizzare i file di log
Il seguente comando può essere usato per analizzare i file di log associati ai tentativi di login:
# Visualizza gli ultimi 10 tentativi di login
cat /var/log/auth.log | tail -10
Questo comando mostrerà gli ultimi 10 tentativi di login, incluso username, indirizzo IP, timestamp e esito (successo o fallimento) del login.
/var/log/auth.log è un file di log che conserva informazioni sui tentativi di autenticazione degli utenti nei sistemi Linux. È una risorsa preziosa per gli esperti di sicurezza, perché può essere usato per scoprire prove di attività malevola o accessi non autorizzati.
Il file /var/log/auth.log contiene informazioni su ogni tentativo di autenticazione, come username, indirizzo IP, timestamp e esito del login. Analizzando questi dati, gli esperti possono identificare pattern di attività malevola, come attacchi brute-force o accessi non autorizzati.
Oltre all’analisi del file di log, gli esperti possono usare anche il comando last per visualizzare gli ultimi 10 tentativi di login. Questo comando mostra le stesse informazioni del file /var/log/auth.log, ma in un formato più conciso.
In generale, /var/log/auth.log è uno strumento prezioso per scoprire prove di attività malevola. Analizzando il file di log e usando il comando last, gli esperti possono identificare rapidamente pattern di comportamento malevolo e scoprire prove di accessi non autorizzati.
Strumenti
Una vasta gamma di strumenti può essere usata per la digital forensics. Gli strumenti più comuni includono software di analisi forense, software di disk imaging e strumenti di analisi di rete. Oltre ad aiutare nel processo di scoperta delle prove digitali, questi strumenti possono anche assistere nell’interpretazione delle prove.
Comando dd
Il comando dd è uno strumento importante per la digital forensics. È un comando Linux che permette la copia e la conversione di file. Può essere usato per creare una copia esatta di un intero disco o di una partizione, rendendolo uno strumento essenziale per disk imaging e cloning.
La sintassi del comando dd è la seguente:
$ dd if=<input file> of=<output file>
L’argomento if=<input file> specifica il file sorgente per l’operazione di copia. L’argomento of=<output file> specifica il file di destinazione.
Esempi:
Per creare una copia esatta di un hard disk:
$ dd if=/dev/sda of=/dev/sdb
Per creare l’immagine di una partizione:
$ dd if=/dev/sda2 of=my_partition.img
Il comando dd è uno strumento prezioso per la digital forensics, poiché può essere usato per creare una copia esatta di un disco o di una partizione. Può servire per creare backup, clonare drive, e altro ancora.
Autopsy
Autopsy è un potente strumento di digital forensics (https://www.basistech.com/autopsy/) usato per scoprire prove dai dispositivi digitali. È un’interfaccia grafica che permette agli utenti di analizzare dati, recuperare file eliminati ed eseguire numerose altre attività forensi.
Autopsy viene usato per analizzare dati da hard disk, memory card, chiavette USB e altri dispositivi digitali. Può essere usato per identificare file, scoprire dati eliminati e analizzare prove forensi. Autopsy include anche un set di plugin che permettono di eseguire attività specifiche, come estrarre email o analizzare immagini.
Funzionalità di Autopsy
Autopsy include diverse funzionalità che lo rendono uno strumento prezioso per la digital forensics. Tra queste:
- Disk imaging: Autopsy permette di creare rapidamente una copia esatta di un hard disk o di un altro dispositivo digitale. Questo garantisce che la prova resti nel suo stato originale, e permette un’analisi più approfondita.
- File carving: Autopsy può essere usato per scoprire file eliminati o nascosti. Utile per identificare prove che l’utente potrebbe aver deliberatamente nascosto.
- Analisi della timeline: Autopsy permette di creare una timeline degli eventi, utile per identificare pattern o anomalie nei dati.
- Analisi automatizzata: Autopsy include un set di plugin che permettono di automatizzare alcune attività, come l’estrazione di email o l’analisi di immagini.
Esempi di utilizzo di Autopsy
Autopsy è uno strumento potente che può essere usato in diversi scenari, ad esempio:
- Investigare cybercrimini: Autopsy può essere usato per scoprire prove di attività malevola, come malware o tentativi di hacking.
- Recuperare file eliminati: Autopsy può essere usato per recuperare file cancellati o scoprire file nascosti.
- Analizzare dispositivi mobili: Autopsy può essere usato per analizzare dati da dispositivi mobili, come smartphone o tablet.
- Investigare data breach: Autopsy può essere usato per analizzare dati di un data breach e scoprire prove di attività malevola.
Analisi
La digital forensics richiede un’analisi approfondita delle prove. Questo processo include l’analisi del contenuto dei file, l’esame della struttura dei dati e la ricerca di pattern nelle prove. Inoltre, gli esperti di digital forensics devono essere in grado di creare connessioni tra le prove e il contesto in cui sono state trovate.
L’importanza della Digital Forensics nei processi legali
La digital forensics gioca un ruolo importante nei processi legali, perché aiuta a scoprire prove e a fornire una ricostruzione accurata degli eventi. Può fornire prove utili a supportare o confutare affermazioni in un caso. Inoltre, può essere usata per identificare pattern di comportamento o anomalie nei dati digitali. Scoprendo queste prove, la digital forensics può aiutare a rafforzare un caso o fornire spunti preziosi sugli eventi in questione.
Write Blocker nei processi legali
Un write blocker è un dispositivo usato in digital forensics per impedire modifiche alle prove raccolte da un dispositivo digitale. È uno strumento essenziale per preservare le prove nei processi legali, perché garantisce che restino nel loro stato originale.
I write blocker sono progettati per impedire qualsiasi modifica, cancellazione o alterazione alle prove raccolte da un dispositivo digitale. Questo garantisce che le prove restino nel loro stato originale e impedisce qualsiasi manomissione. È essenziale per i processi legali, perché garantisce che le prove non vengano corrotte o alterate in alcun modo.
I write blocker possono essere usati con diversi dispositivi digitali, inclusi hard disk, chiavette USB e memory card. Possono anche essere usati con strumenti di imaging, come dd o EnCase, per garantire che le prove non vengano corrotte durante il processo di imaging.
Conclusioni
La digital forensics è un processo complesso che richiede strumenti specializzati, una conoscenza approfondita di hardware e software, e un approccio metodico. In questo post abbiamo esplorato i fondamenti della digital forensics, inclusi gli strumenti e le tecniche usate per scoprire prove digitali. Con gli strumenti e le conoscenze giuste, la digital forensics può essere usata per scoprire prove e aiutare a risolvere casi.