www.MegaLab.it

L'informatica forense è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico.

Con queste tre righe, Wikipedia presenta la branca dell'informatica che si occupa dell'investigazione di supporti informatici volta a scandagliare dischi fissi e ogni tipo di memoria allo scopo di estrapolare quanti più dati possibili al fine di utilizzarli in un processo giuridico.

Casi eclatanti nei quali si ricorre alle tecniche di analisi forense sono quelli in cui squadre di investigatori specializzati setacciano i PC allo scopo di trovare qualche traccia in grado di comprovare la colpevolezza degli imputati.

Ma non stiamo parlando di fantascienza o di argomenti "intrattabili": direttamente dal mondo open source infatti, ci viene in aiuto un kit che permette proprio di navigare tra i cluster e i metadati del nostro filesystem in maniera del tutto simile a quanto farebbe un esperto.

The Sleuth Kit - Autopsy

Autopsy è l'interfaccia grafica della suite TSK (The Sleuth Kit), la quale, mediante la predisposizione automatica di un server web nel nostro PC, ci spalanca la porta verso il filesystem, il quale diviene così accessibile con un comune browser web.

L'intero lavoro si svolge in Linux: eseguiamo quindi il boot del PC da analizzare tramite il Live CD di Ubuntu (se ancora non ne avete una copia, potete ottenerla da qui).

Installiamo quindi Autopsy utilizzando uno dei vari metodi disponibili (in questo caso, impartire sudo apt-get install autopsy da terminale è sicuramente il più rapido) e siamo pronti a lavorare.

Prima di iniziare però, è necessario sapere che Autopsy può lavorare in due maniere: mediante un'immagine del disco/partizione da analizzare (che abbiamo preventivamente creato magari con il comando dd) oppure in modalità live, ossia analizzando il il disco/partizione in maniera diretta.

Percorreremo la prima strada: in ogni caso, dobbiamo prima sapere il nome del device da analizzare: possiamo scoprirlo osservando la lista delle partizioni con il comando sudo fdisk -l oppure attraverso un tool grafico come Gparted o simili...

Come si vede, nel mio caso ho un hard disk diviso in due partizioni: quella in cui sto lavorando è formattata in EXT4 (sda1) e l'altra in NTFS (sda2).

Dunque vogliamo analizzare la partizione NTFS nominata sda2, quindi creiamo la sua immagine mediante il comando sudo dd if=/dev/sda2 of=/home/saverio/Scrivania/immagine.dd.

Dove il parametro if specifica il file-device sorgente e il parametro of specifica il file di destinazione dove verrà copiato il tutto.

Dopo aver lanciato il comando, attendiamo la fine del processo e ci ritroveremo quindi tutta la partizione NTFS (sda2) nel file immagine.dd.

Voltiamo pagina e iniziamo l'investigazione con Autopsy...